北京網警近期緊急發布預警，一種名為AiTM的釣魚攻擊正在網絡空間被不法分子利用。這種攻擊的危險之處在于，它不再單純騙取用戶的密碼，而是在用戶和真實網站之間搭建起一個“中轉站”。它能實時轉發賬號、密碼乃至我們一直認為非常安全的手機驗證碼，最終竊取登錄憑證。

浙江桐鄉警方近期破獲了一起特大“游戲盜版案”。犯罪團伙正是利用了與此同源的“中間人攻擊”技術，截獲并篡改通信數據，偽造購買憑證，讓游戲平臺誤以為用戶已正版入庫。當登錄驗證環節被不法分子盯上，普通用戶究竟如何防范？

浙江桐鄉警方此前發現，一種名為“假入庫”的游戲服務正在網上悄然興起，用戶只要花上幾塊到幾十塊錢，就能玩官方售價數百元的游戲。

桐鄉市公安局網絡安全保衛大隊網絡空間安全中隊政治指導員姚鋮陽：有人來報案稱他在電商平臺上買了一個東西，感覺電腦中木馬了。然后我們發現它其實是電商平臺上在賣游戲盜版的情況，它有個專業的名詞叫作假入庫，比如說你要買這款游戲，你要先付錢對吧？那么假入庫的意思就是相當于它做了技術破解，你可以花非常低價錢，比如說一款游戲300塊錢，你花20塊錢就可以直接去下這款游戲。

犯罪團伙實現“假入庫”，正是利用了DLL注入和“中間人攻擊”技術。

桐鄉市公安局網絡安全保衛大隊網絡空間安全中隊政治指導員姚鋮陽：所謂“中間人攻擊”，就是攻擊者將原本用戶與游戲平臺之間的數據交互，劫持到了自己的服務器上。打個比方，就像我和你在打電話，嫌疑人把通話劫持到他的電話上。表面上看，好像是我在跟你通話，實際上是我先跟他通話，再由他把信息傳遞給你，這樣就構成了中間人攻擊。游戲平臺以為消費者已經購買了游戲，但實際上在游戲公司那邊，并沒有真正的購買記錄和入庫。用戶雖然暫時能下載和游玩，但只要換一臺電腦或過一段時間，游戲就會失效。

除了利用中間人攻擊制造游戲“假入庫”，警方還擔心這一技術被用于搭建仿冒的志愿填報、查分或錄取查詢系統。例如，首都網警昨天（22日）在其官方微博發布預警指出，一條看似正規的“志愿填報入口”鏈接，背后可能隱藏著中間人攻擊（AiTM）陷阱。其手法是，在用戶與真實網站之間搭建一個隱蔽的“中轉站”，將考生輸入的賬號、密碼乃至短信驗證碼實時轉發給真實網站，從而在用戶毫無察覺的情況下完成登錄并竊取登錄憑證，嚴重威脅考生的個人信息安全。

網絡安全技術專家 黑鳥：這種行為基本屬于釣魚詐騙。比如，攻擊者向學生群體發送大量短信，聲稱填報志愿需注意安全事項，并附上鏈接，要求學生點擊查看或通過該鏈接申報志愿，以此偽造官方通知。有時，用戶訪問的網站也會被劫持，攻擊者將頁面跳轉到自己搭建的虛假網站上，誘導學生填寫個人信息，從而實施詐騙。

另一位不愿透露姓名的網絡安全技術專家表示，AiTM的核心在于偷走系統的“通行證”，這也使得我們默認為更安全的手機號加驗證碼登錄方式形同虛設。

網絡安全技術專家：現在很多App或網站，為了讓用戶登錄更方便，都支持用手機號和驗證碼登錄。你登錄成功一次之后，后面很長一段時間都不用再輸密碼、驗證碼，這是因為系統會在你的手機或瀏覽器里放一張“臨時通行證”。AiTM攻擊的最關鍵地方，就是想辦法騙你到一個“假的登錄入口”里完成登錄。這個假入口看起來很像真的，比如假冒銀行、快遞、郵箱、公司系統，甚至會讓你正常輸入手機號、驗證碼或密碼。一旦攻擊者拿到這張“通行證”，在它還沒失效之前，就有可能繞過密碼和驗證碼，冒充你進入賬號。所以，AiTM并不是把驗證碼“破解”了，而是騙你在假入口里完成了一次真實登錄，然后偷走了登錄成功后的“通行證”。

也就是說，這種攻擊的危害遠不止于竊取一次登錄信息，更可能引發連鎖的個人信息泄露和財產損失風險。專家指出，AiTM攻擊偷走的“通行證”，相當于把賬號的臨時控制權直接交到了攻擊者手中。攻擊者不僅能冒用考生身份，還可能進一步利用獲取的個人信息，實施精準詐騙，比如假冒高校或教育部門，以“發放助學金”“核實錄取信息”等名義，對考生和家長進行二次詐騙。

桐鄉市公安局網絡安全保衛大隊網絡空間安全中隊政治指導員姚鋮陽：這類黑灰產行為危害巨大。電商平臺上統計顯示，涉案商家多達120余家，幾乎覆蓋了該游戲平臺上的所有游戲。開發商投入數億元研發的游戲，通過這種破解方式無法獲得正當收入，所有收益均流向了盜版商家。更嚴重的是，用戶下載到電腦上的破解程序，本質上可能暗藏木馬。攻擊者可以在其中植入任意惡意代碼，讀取用戶的電腦信息，甚至盜取賬號、隱私密碼等敏感數據。這不僅損害了游戲公司的合法權益，也對用戶的網絡安全構成了嚴重威脅。

面對這種能夠在無形中截獲信息的攻擊手法，普通人該如何防范？

網絡安全技術專家 黑鳥：要管好網絡環境，拒絕貪圖便宜，不下載不明鏈接。尤其不要連免費Wi-Fi或者公共Wi-Fi，可以使用手機熱點去連接筆記本電腦的方式去進行填報志愿，這樣是最安全的。在填報志愿的過程中，先確定好是不是真實、正確的填報志愿網址，要去看瀏覽器的窗口有沒有彈出警告信息。比方說提示這個網站的證書不安全，如果有提示這個情況的話，不要填報，換一個網絡環境下去填報。

來源：央視新聞客戶端