譯者 | 布加迪

審校 | 重樓

擔(dān)心您的個(gè)人文件被黑客竊取嗎？Canary Tokens是一款免費(fèi)且易于使用的工具，可以快速部署。如果黑客打開(kāi)您的文件，它就會(huì)通知您。

什么是Canary Tokens？

Canary Tokens是Thinkst Canary開(kāi)發(fā)的一款網(wǎng)絡(luò)安全工具，用于跟蹤黑客何時(shí)訪問(wèn)您的個(gè)人數(shù)據(jù)。其工作原理是，在您的文件中嵌入一個(gè)特殊的跟蹤URL，一旦它被打開(kāi)，就會(huì)通過(guò)電子郵件提醒您。就像蜜罐的工作原理一樣，其想法是在您的設(shè)備上放置一個(gè)偽裝成普通文件的跟蹤器。當(dāng)黑客打開(kāi)該文件時(shí)，一個(gè)隱藏的鏈接就會(huì)打開(kāi)，提醒您注意威脅。

如何使用Canary Tokens保護(hù)您的數(shù)據(jù)？

下面將介紹如何在Windows文件夾上嵌入Canary Tokens跟蹤URL。您可以使用Canary Tokens保護(hù)各種各樣的文件和服務(wù)，從Word和Excel文檔、特定的URL，到Azure和Microsoft SQL Server等在線(xiàn)服務(wù)，不一而足。

不妨從訪問(wèn)Canary Tokens開(kāi)始入手。

訪問(wèn)其網(wǎng)站后，您將看到Canary Token生成器。生成器需要您設(shè)置三個(gè)字段：

• 第一個(gè)字段用于為您的文件類(lèi)型選擇適當(dāng)?shù)牧钆啤?/span>
• 第二個(gè)字段用于填寫(xiě)您的電子郵件地址。
• 最后一個(gè)字段用于當(dāng)警報(bào)被觸發(fā)時(shí)想要提醒您自己的任何內(nèi)容。

由于我們將令牌嵌入到一個(gè)文件夾中，所以我從“選擇您的令牌”下拉菜單中選擇了“Windows文件夾”。

我還提供了電子郵件，用于接收警報(bào)和文本注釋?zhuān)?/span>以提醒我這個(gè)令牌的用途。

填完表單后，點(diǎn)擊“創(chuàng)建我的Canarytoken”，并下載嵌有特殊令牌的ZIP文件。

現(xiàn)在，通過(guò)右鍵單擊ZIP文件并選擇“提取所有”來(lái)解壓縮該文件，然后輸入您希望該文件所在的目錄。理想情況下，它應(yīng)該在黑客容易找到的地方。比如說(shuō)，如果您想把文件放在桌面上，可以輸入C:\Users\YourUserName\Desktop（換掉YourUserName）。然后，您可以將文件添加到文件夾中，并將其重命名為潛在黑客可能有興趣打開(kāi)的名稱(chēng)。

我們已布好了陷阱，試著打開(kāi)文件夾，檢查是否觸發(fā)了警報(bào)。

如何檢查黑客是否訪問(wèn)了您的文件？

查看您的特殊文件是否已打開(kāi)，只需打開(kāi)您的電子郵件帳戶(hù)（您之前關(guān)聯(lián)的那個(gè)），并檢查收件箱中的Canarytoken Mailer即可。

在Chrome或您常用的網(wǎng)絡(luò)瀏覽器上允許電子郵件通知將有助于在文件被打開(kāi)時(shí)立即提醒您。您可能還想檢查垃圾郵件文件夾，以防Canarytoken Mailer被誤識(shí)別為垃圾郵件。

觸發(fā)令牌應(yīng)該會(huì)用一封電子郵件提醒您，郵件看起來(lái)像這樣：

如您所見(jiàn)，它含有諸如日期和時(shí)間、文本注釋提醒和源IP等信息，這些信息可用于各種用途。您可以使用IP跟蹤器來(lái)查找打開(kāi)文件的一般位置?；蛘?，選擇“有關(guān)此處該令牌的更多信息”，以查看事件圖。

Canary Tokens提供的具體位置將取決于打開(kāi)您文件的那個(gè)人的ISP如何操作以及他們是否使用特殊網(wǎng)絡(luò)來(lái)保護(hù)其位置數(shù)據(jù)。

如何排除Canary Tokens的故障？

如果您已嘗試打開(kāi)文件夾，但仍未收到警報(bào)，不妨遵守故障排除步驟。

Canary Tokens無(wú)法觸發(fā)Windows文件夾

如果您使用Windows 11，Windows文件夾又不會(huì)觸發(fā)警報(bào)，很可能是遠(yuǎn)程路徑被禁用了。要解決這個(gè)問(wèn)題：

1. 在任務(wù)欄搜索中輸入“編輯組策略”，并選擇“最佳匹配”。

2. 導(dǎo)航到>計(jì)算機(jī)配置>管理模板> Windows組件>文件資源管理器。

3. 在文件資源管理器中，雙擊“允許在文件快捷圖標(biāo)中使用遠(yuǎn)程路徑”，并確保它已被啟用。

丟失文件系統(tǒng)屬性

這應(yīng)該可以解決問(wèn)題，但如果仍不起作用，可能是由于在提取過(guò)程中丟失了文件夾的文件系統(tǒng)屬性。

1. 打開(kāi)特殊文件夾所在的那個(gè)目錄。

2. 點(diǎn)擊文件夾頂部附近的文件資源管理器地址欄，并輸入cmd.exe。這將在文件夾的位置直接打開(kāi)命令行界面。然后，您可輸入添加所需的屬性，并加上引號(hào)：

attrib.exe +s "embedded folder name"

3. 現(xiàn)在，如果您輸入下面這個(gè)命令，應(yīng)該能夠在嵌入的文件夾旁邊看到一個(gè)S，表明屬性已經(jīng)被添加。

attrib.exe "embedded folder name"

Canary Tokens老是觸發(fā)

如果您一直收到Canary Mailer發(fā)出的警報(bào)，并且確信它們是來(lái)自嵌入式Windows文件夾的誤報(bào)，那么很可能是您的反病毒軟件掃描了引起警報(bào)的文件夾。

要解決這個(gè)問(wèn)題，您需要在常規(guī)反病毒掃描中排除這個(gè)嵌入的文件夾。如果您使用Windows Defender，下面是排除某個(gè)文件或文件夾的方法：

1. 在開(kāi)始菜單搜索欄中輸入“Windows Security”，然后選擇“最佳匹配”。

2. 現(xiàn)在進(jìn)入到“病毒威脅和防護(hù)”。在“病毒和威脅防護(hù)設(shè)置”下，點(diǎn)擊“管理設(shè)置”。

3. 向下滾動(dòng)到“排除項(xiàng)”，并點(diǎn)擊“添加或刪除排除項(xiàng)”。

4. 點(diǎn)擊“添加排除項(xiàng)”，然后選擇“文件夾”?，F(xiàn)在找到您的文件夾，點(diǎn)擊“選擇文件夾”。

這應(yīng)該可以阻止您的文件被掃描，并防止不斷從Canary Mailer得到誤報(bào)。

如果文件被傳輸?shù)搅硪慌_(tái)設(shè)備，Canary Tokens會(huì)工作嗎？

是的，只要跟蹤URL被訪問(wèn)，您就會(huì)收到有關(guān)該事件的警報(bào)。對(duì)于提供的大多數(shù)令牌而言，打開(kāi)文件的人使用的是Windows、Linux、macOS、iOS還是安卓設(shè)備并不重要。只要設(shè)備能夠?yàn)g覽網(wǎng)頁(yè)，Canary Tokens就應(yīng)該可以使用。

雖然本文更多地介紹在Windows文件夾上使用蜜罐令牌，但Canary Tokens的功能絕不止這些！您還可以在其他文件（Word/Excel/PDF）、在線(xiàn)服務(wù)（Azure/Microsoft SQL Server/ WireGuard/AWS）、電子郵件、特定URL，甚至信用卡上嵌入蜜罐令牌。甚至還有高級(jí)版的服務(wù)提供更多的功能，可以幫助您保護(hù)整個(gè)網(wǎng)絡(luò)。

原文標(biāo)題：How to Use Canary Tokens to Catch Hackers When They Access Your Files，作者：Jayric Maning