虚假黑客威胁事件技术复盘：Substack数据泄露与勒索诈骗分析

摘要

本文作者记录了一起虚假黑客威胁事件的调查与应对过程。诈骗者利用Substack 2025年10月数据泄露中暴露的用户手机号码发送勒索邮件，声称已黑入设备并要求比特币赎金。作为软件工程师，作者通过技术分析识破骗局，并深入剖析了同形异义词攻击、贝叶斯过滤规避等技术手法，最终提供了数据最小化、零信任安全等个人防护建议。

内容框架与概述

文章开篇描述了作者收到威胁邮件后的心理反应，引出调查过程。作者通过HaveIBeenPwned验证和记忆回溯，确认手机号来源于Substack平台数据泄露，消除了被实时监控的恐惧。随后，文章从技术视角拆解了诈骗邮件的逻辑漏洞，包括同形异义词绕过垃圾邮件过滤器的机制、以及所谓God-Mode能力的夸大其词。

在应对指南部分，作者提供了标准化的处理流程，强调暂停操作、验证泄露源、向印度国家网络犯罪 portal 报告等步骤。文章进一步从系统架构层面反思数据最小化原则，建议用户使用邮件转发服务隔离身份、采用硬件安全密钥替代短信验证码、以及使用物理摄像头盖等简单有效的防护措施。最后的技术附录详细解释了Unicode同形攻击如何欺骗正则表达式过滤器和贝叶斯分类器，为开发者提供了规范化输入和视觉相似性检测的防御思路。

核心概念及解读

同形异义词攻击：利用外观相似但Unicode编码不同的字符替换敏感词汇，绕过基于关键词匹配的垃圾邮件过滤器和安全检测系统。

数据最小化原则：安全设计中的核心策略，要求系统仅收集和存储绝对必要的数据，从源头降低数据泄露的潜在影响和范围。

SIM换卡攻击：攻击者通过获取受害者手机号身份信息，诱骗运营商将号码转移到攻击者控制的SIM卡，从而拦截短信验证码和电话。

贝叶斯概率过滤：现代邮件过滤器基于词频统计判断垃圾邮件概率的技术，同形异义词使攻击词被视为新token，逃避历史数据关联的检测。

零信任安全模型：不信任网络内外的任何设备或用户，持续验证每个访问请求，适用于个人数字资产保护的架构设计理念。

原文信息

此摘要卡片由 AI 自动生成