周三的新聞聽起來(lái)像是標(biāo)準(zhǔn)的硅谷冷笑話。俄羅斯黑客竊取了600萬(wàn)LinkedIn賬戶密碼。難道他們把“世界上最大的職業(yè)網(wǎng)絡(luò)”誤翻成了“大家都在用的職業(yè)網(wǎng)絡(luò)”？他們下一步要黑哪一家，谷歌+么？竊取這些賬戶之后，他們還打算干嘛，到黑市上賣簡(jiǎn)歷嗎？嫌LinkedIn邀請(qǐng)注冊(cè)郵件還不夠多，所以要利用聯(lián)系人列表來(lái)發(fā)垃圾郵件么？

漠不關(guān)心者有之，冷嘲熱諷者有之，但是還有一小掇人高度重視這次LinkedIn被攻擊事件：安全專家。

上文幾個(gè)惡搞問(wèn)題最有可能的答案是：不、不、是的、是的。第一個(gè)問(wèn)題，俄羅斯黑客又不傻，他們才不關(guān)心你到底有沒有在用LinkedIn。第二個(gè)問(wèn)題，他們并沒有緊接著攻擊谷歌——谷歌太難攻了——而是攻擊了人氣很旺的約會(huì)網(wǎng)站一派和諧（eHarmony）。第三個(gè)問(wèn)題，竊取簡(jiǎn)歷等個(gè)人信息幾乎可以肯定是黑客計(jì)劃的一部分，那可是潛在的金礦。第四個(gè)問(wèn)題，偽裝熟人發(fā)郵件是黑客請(qǐng)君入甕的主要手段。這比自稱是尼日利亞王子的郵件可信多了。

目前還不清楚此次攻擊所造成的影響。LinkedIn和一派和諧現(xiàn)在還沒有給個(gè)說(shuō)法，也許是因?yàn)樗麄兏具€沒查出來(lái)究竟哪里出了問(wèn)題。不過(guò)計(jì)算機(jī)安全方面的專家越來(lái)越肯定，這起事件本身遠(yuǎn)比這兩家公司所說(shuō)的要復(fù)雜險(xiǎn)惡。

警告：注冊(cè)了LinkedIn或者一派和諧的用戶要小心了。如果你在其他網(wǎng)站上用了同樣的用戶名，特別是像貝寶（Paypal）和臉譜這樣的高危網(wǎng)站——就更要特別小心了。如果注冊(cè)了這兩個(gè)網(wǎng)站，就要馬上去改密碼。（別輕舉妄動(dòng)，先看完這篇文章再改?。?/p>

最初的攻擊報(bào)道顯示，約有650萬(wàn)LinkedIn用戶密碼被放到了網(wǎng)上，不過(guò)還沒有電子郵箱地址可以追溯到具體賬號(hào)。這看上去讓人松了一口氣，不過(guò)又引出了一大串疑問(wèn)：黑客把大家的密碼放出來(lái)給所有人看，這葫蘆里究竟賣的是什么藥？這些密碼一旦公之于眾，誰(shuí)還會(huì)繼續(xù)用呢？如果沒有遭到“破解泄漏”的用戶密碼就安全嗎？

安全專家作了這樣一個(gè)驚人的假設(shè)：黑客把這些密碼公布出來(lái)，是為了讓公眾幫助他們破解其中一部分密碼。如果用戶密碼不在公布之列，很有可能意味著用戶的賬戶已經(jīng)不安全了。黑客有可能已經(jīng)暗中掌握了密碼。如果假設(shè)成立，黑客沒有公布電子郵箱地址等個(gè)人信息也就合情合理了。黑客并非沒有得到這些個(gè)人信息，而是他們將其“雪藏”了，為的是有朝一日能到黑市上賣給犯罪黑客組織。

賽門鐵克專家馬里安·梅里特（Marian Merritt）稱，有組織的黑客攻擊大多是由犯罪團(tuán)伙策劃的，意在謀財(cái)。其次是“黑客活躍分子”組織所為，比如“匿名（Anonymous）”和 “LulzSec”。這些團(tuán)伙的主要目標(biāo)是惡心、揭露、阻遏以及恐嚇?biāo)麄兊墓裟繕?biāo)，主要與黑客意識(shí)形態(tài)格格不入的大公司。攻擊LinkedIn的手法跟LulzSec有相似之處，比如去年夏天索尼公司100萬(wàn)用戶個(gè)人信息失竊。不過(guò)，沒有任何黑客活躍分子聲稱對(duì)此事負(fù)責(zé)，而且這些數(shù)據(jù)最先公布在俄羅斯專注于密碼破解論壇的事實(shí)表明，公開密碼只是此番攻擊的副產(chǎn)品，而決不是主要目標(biāo)。

這些網(wǎng)絡(luò)騙子拿到密碼想干什么呢？數(shù)據(jù)安全企業(yè)Sophos的高級(jí)安全顧問(wèn)切斯特·維斯涅夫斯基（Chester Wisniewski）說(shuō)，用途很多。對(duì)于全世界的黑客來(lái)說(shuō)，大批量泄漏的密碼正好可以拿來(lái)更新他們所謂的“彩虹表（rainbow table）”——巨大的數(shù)據(jù)庫(kù)，可作為破解加密密碼的數(shù)字鑰匙，稱之為“哈希（Hash）”。最安全的網(wǎng)站使用另一層密碼加密，稱之為“放鹽（salting）”，如此一來(lái)，同樣是用了“123456”這串密碼，兩個(gè)用戶的哈希是不一樣的?？墒荓inkedIn沒有這樣做，結(jié)果就是同樣的鑰匙可以解鎖一大批使用同一個(gè)密碼串的用戶，此法不僅可以用在LinkedIn上，還可以用在采取同一種哈希算法的網(wǎng)站上。（一派和諧的算法甚至更弱，同樣沒有“放鹽”。）

如果黑客同時(shí)擁有用戶的電子郵箱地址和密碼——多數(shù)分析師懷疑他們會(huì)這么做——這些信息同樣可以直接針對(duì)LinkedIn和一派和諧用戶。網(wǎng)絡(luò)騙子得手之后，首先要做的是運(yùn)行軟件，用同樣的電子郵箱地址和密碼組合來(lái)登錄其他網(wǎng)站，看看是不是可以得到大家的財(cái)務(wù)或者社交賬號(hào)。

LinkedIn賬號(hào)上的個(gè)人信息也是某種網(wǎng)絡(luò)攻擊的理想目標(biāo)，稱之為“魚叉式網(wǎng)絡(luò)釣魚（spear phishing）”。前國(guó)家安全局安全分析師馬庫(kù)斯·卡雷（Marcus Carey）說(shuō)，釣魚者的如意算盤是引誘他人下載流氓軟件或者通過(guò)發(fā)送貌似正常的郵件讓收件人泄露敏感信息。馬庫(kù)斯如今是網(wǎng)絡(luò)安全企業(yè)快 7（Rapid7）的研究員。這些消息看上去是老板或者同事發(fā)來(lái)的，或者偽裝成一封與用戶業(yè)務(wù)相關(guān)的電子郵件，比如要求報(bào)價(jià)或者特定服務(wù)。由于這類郵件不像是垃圾郵件，攻擊目標(biāo)往往會(huì)放松警惕。

因?yàn)轸~叉式網(wǎng)絡(luò)釣魚需要網(wǎng)絡(luò)罪犯的照看和單獨(dú)關(guān)注，所以僅會(huì)針對(duì)高價(jià)值目標(biāo)——比如專家或者企業(yè)高管。這些人恰好又是LinkedIn的核心會(huì)員。

還有一種釣魚幾乎始終伴隨著類似針對(duì)LinkedIn還有一派和諧的攻擊，從某種角度來(lái)說(shuō)，它是最詭計(jì)多端的。網(wǎng)絡(luò)上圖謀不軌者知道，很多人會(huì)讀到包括本文在內(nèi)的文章，并且會(huì)隨之修改密碼。正確的辦法是直接登錄LinkedIn或者一派和諧網(wǎng)站去修改。錯(cuò)誤的做法是點(diǎn)擊一封看似來(lái)自官方的郵件中的鏈接，然后被這個(gè)鏈接帶到一個(gè)冒充的官方網(wǎng)站，并且照上面的提示重置密碼。如果黑客在此之前沒有得到密碼，那么只要用戶老老實(shí)實(shí)的照著他們?cè)O(shè)下的圈套輸入密碼，他們就得逞了。別被騙了。密碼被人偷走就夠郁悶的了。把密碼親自送上門就更悲摧了。