至少兩名在社群媒體平台X上的中文異見博主稱最近收到了平台上其他用戶發出的釣魚鏈接。 他們表示這些鏈接的目的疑似在於挖取用戶的IP位址等其他個人資訊。
這種網路攻擊手法很像先前洩漏的中國安洵公司的內部文件所描述的內容,那份文件揭露了這家向政府提供服務的科技公司如何透過釣魚鏈接獲取X平台上用戶的個人資訊。
頗具影響力的X博主「李老師不是你老師」4月6日發文表示,一位此前向他投稿的用戶給他發來了一個鏈接,稱鏈接裡是合肥市紅星路上紀念去世的前總理李克強的情況。
但「李老師」透露這位用戶先前被警察訊問過,已經無法再使用該帳號。 所以他懷疑寄來鏈接的人其實是中國警察,目的可能是為了取得他的IP位址。
「這是目前第一次發生投稿人帳號被警察盜用的情況,」他在X上寫道。 他也公佈了先前收到的兩封帶有疑似釣魚鏈接的郵件。 其中一個鏈接看似是中國影片網站嗶哩嗶哩的網址,但有拼字錯誤。 另一條則看似是社媒軟體電報(Telegrah)的網址,但拼字並不完整。
「李老師」轉發了一位叫做「變成也想」的博主對這幾個鏈接的測試和分析。 該博主在一篇文章裡稱這兩個鏈接都採取了偽裝手段,為的是博取信任。 而鏈接的真實目的是取得點擊者的真實IP位址,包括點擊者的微博帳號資訊等。
因為在當時還叫做推特的X平台上幫助傳播了2022年底中國各地出現的反對嚴格新冠管控措施的街頭抗議,並此後持續發布中國各地發生的未被報道的新聞,過去一年多以來「李老師」的影響力不斷增長,他目前在X上擁有超過140萬的粉絲。
而人在意大利的他也不斷受到疑似是來自中國的網路攻擊。 2022年的抗議後不久,X上就出現了不少仿冒他的帳號。 他的帳號也一度從X的搜尋結果裡消失。 最近,大量似乎是機器人的帳號在平台上發表了攻擊他的言論。
2月底,他在X上表示中國的公安正在追蹤他的粉絲,試圖確認這些粉絲的真實身分。
「李老師」沒有回覆美國之音就這次釣魚事件發出的採訪要求。
「李老師」並不是唯一最近收到疑似釣魚連結的中國異見人士。 一個不久前才建立的、粉絲數只有三百多的帳號說他們也收到了可疑帳號發來的鏈接。
這個叫做「隱秘抵抗紀錄者」的X帳號3月才創建,目前為止發布了一些據稱是中國各地出現的反對北京當局的標語和海報,內容包括對新冠疫情管控措施和對當局專制統治的批評 。
「我們希望能夠記錄下這些逆權行為,無論多麼微小,即使僅是在公廁中寫了幾個字,也能夠被記錄下來,然後得到傳播,來感染更多的人,也讓感到孤單的人 不要失望孤單,」帳號背後的經營者之一Daniel告訴美國之音。
Daniel表示,「隱秘抵抗紀錄者」4月3日收到了一封來自一個叫做「John Smith Wilson」的帳號的私訊。 這個帳號希望「隱秘抵抗記錄者」轉發一個鏈接,內容是一個對上海疫情封城兩週年的紀念項目。
Daniel說,轉發該鏈接後,一些用戶向他們反映連結無法開啟。 而且他發現這個叫做「John Smith Wilson」的帳號曾經貼出一個和「李老師」曝光的一個疑似釣魚鏈接相同的網址。
這一切都讓Daniel感到擔心。 他懷疑這個帳號和試圖釣魚李老師的人來自同一個團隊,於是趕緊刪除了轉發的鏈接。 他表示自己沒有點開過那個鏈接,目前為止也沒有聽說有用戶因為點開了鏈接而遭到中國警察騷擾。
但Daniel還是表示這件事讓他感到擔心。 「雖然截至目前還沒有聽說被喝茶,但擔心這件事像危險信號,擔心這個帳號已經被他們(中國)那邊放進攻擊名單之類的,」他在文字採訪中表示。
美國之音發現,這個叫做「John Smith Wilson」的帳號使用的頭像是美國導演拉什德·埃內斯托·格林(Rashaad Ernesto Green)。 帳號建立於2022年8月,主頁顯示他的位置是美國的蒙大拿州。 而他用來當作頁面背景的圖片其實是來自一位台灣的用戶在社媒平台慕德(MOOD)上發布的照片。 除了發布那條疑似釣魚連結外,帳號沒有發過言。
美國之音嘗試了聯繫該帳號,但未收到回覆。
「個人感覺這些帳號非常善於偽裝,他們甚至會故意轉發批評當局的文章,來博取信任,這是之前從來沒想到的,」Daniel告訴美國之音,「感覺這種有組織行為背後的財力和技術絕非是普通黑客所為吧。”
手法頗似洩漏安洵文件內容
美國之音尚無法確認發送釣魚鏈接的人的身分和來歷。 但「李老師」和Daniel的遭遇和先前洩露的一份中國文件描述的網路攻擊方式及其相似。 今年2月,中國科技公司安洵的一份文件遭到洩漏,內容包括該公司如何監控中國異議人士以及世界多國政府和組織的資料進行監控和竊取。 該公司服務的對象包括中國各地方政府和警務機構。
文件顯示,安洵開發的一款系統可以產生針對推特平台的「取證鏈接」。 當「目標」點選該連結後,其IP歸屬地、裝置類型、瀏覽器版本等資訊都能被取得。 此外,被攻擊的用戶近30天的私訊內容也能夠被檢視。
文件顯示,安洵也開發了針對信箱的攻擊系統,使用者同樣可以透過釣魚連結取得信箱的收件匣、寄件匣、聯絡人等資料。
美國網路安全公司Sentinel One專注研究中國的顧問達科塔·卡里(Dakota Cary)告訴美國之音,透過釣魚鏈接取得他人的IP位址並不困難,也非常普遍。
他指出,釣魚鏈接一般是為一個人設計的,「如果一個獨特的鏈接被發給了一個人,發送者就可以知道那個獨特頁面所獲得的IP位址一定就屬於那個打開了它的接收者。 」
卡里表示,沒有事先偵測出某個鏈接是不是釣魚鏈接的方法,用戶唯一的防範措施就是保持警覺。
“如果一個鏈接帶你去的網站或者博客是你沒聽說過的,發給你鏈接的人你也私下並不認識,那麼那個鏈接就更有可能帶有風險,用戶應當小心行事,” 他在文字訪談中寫道。
社媒平台X在4月4日宣布將對平台上的機器人帳號整治。 美國之音就平台上存在發送釣魚鏈接的可疑帳號以及外國政府利用該平台攻擊異見人士對X發出了詢問請求,但僅收到回覆:「現在在忙,請稍後再試」。