國外媒體今天撰文稱,隨著社交網(wǎng)站的日益受寵,利用“社交工程”(Social Engineering)技術(shù)攻擊企業(yè)網(wǎng)站的行為日益增多,這也使得各大企業(yè)難以憑借單純的技術(shù)投入確保系統(tǒng)安全。
以下為文章全文:
危險(xiǎn)信號(hào)
克里斯·派滕(Chris Patten)向一家大型投資管理公司報(bào)告稱,他即將離婚,并且擔(dān)心他的妻子已經(jīng)用假名開設(shè)了賬戶。
這種情況完全可能,但在這個(gè)案例中,派滕卻撒了謊。不過這一事件的關(guān)鍵在于,這家投資公司的客服代表很快就將用戶賬號(hào)和其他詳細(xì)信息交給了派滕,這令銀行和其他企業(yè)感到后怕。
派滕是一名35歲的網(wǎng)絡(luò)安全專家,曾經(jīng)就職于美國空軍,后來在堪薩斯城創(chuàng)辦了一家咨詢公司。但他欺騙投資公司的目的并非使用或銷售這些數(shù)據(jù),而是為了對(duì)這些企業(yè)的安全情況進(jìn)行調(diào)查。安全專家和執(zhí)法人員表示,投資公司員工輕易泄露用戶信息的行為是一種危險(xiǎn)的信號(hào)。
隨著銀行和其他大型企業(yè)開始投入大量資金建設(shè)防火墻,并使用復(fù)雜的技術(shù)來加強(qiáng)系統(tǒng)安全,黑客們逐漸將目光轉(zhuǎn)向了這些企業(yè)的員工。
Gartner分析師艾維瓦·里坦(Avivah Litan)表示,由于需要遵守全新的用戶認(rèn)證流程,并加強(qiáng)對(duì)其他犯罪活動(dòng)的抵御能力,大型企業(yè)今年的網(wǎng)絡(luò)安全總投資額有望達(dá)到數(shù)百億美元,較2010年最高增長15%。但類似于派滕所使用的這種低科技方法卻仍然可以獲得成功,這表明單純加大投資無法使各大銀行確保用戶信息的萬無一失。
社交工程
“黑客突破防火墻和其他技術(shù)障礙的困難越來越大,所以他們開始回歸低科技的攻擊方法。”自動(dòng)取款機(jī)制造商Diebold的安全主管大衛(wèi)·肯尼(David Kennedy)說。他還表示,派滕所使用的方法在安全領(lǐng)域被稱作“假托技術(shù)”(pretexting)或“社交工程”,這已經(jīng)成為他的企業(yè)目前面臨的最大威脅之一。
銀行也意識(shí)到了這種威脅,并且開始考慮部署更為嚴(yán)格的用戶身份認(rèn)證標(biāo)準(zhǔn)等流程。當(dāng)用戶要取回用戶名和密碼時(shí),美國銀行已經(jīng)不再簡(jiǎn)單地要求其向客服代表提交家庭住址,還必須要知道交叉路口。他們還有可能要求用戶回憶其他信息,例如該賬號(hào)最近的三筆交易情況。
但能夠避免引起用戶不快的安全措施卻并不多見。“我們不想給用戶造成太大負(fù)擔(dān)。”美國銀行反欺詐主管羅伯特·史福萊特(Robert Shiflet)說。
根據(jù)美國1999年頒布的一部法律,使用虛假借口從金融機(jī)構(gòu)獲取他人信息的行為屬于犯罪,而美國《聯(lián)邦貿(mào)易委員會(huì)法》也禁止了這種欺詐行為。隨著Facebook和LinkedIn等社交網(wǎng)站逐漸受到追捧,黑客發(fā)現(xiàn),要通過互聯(lián)網(wǎng)獲取有用的個(gè)人信息越來越容易。
“你披露的信息越多,別人能竊取的信息也就越多。”美國聯(lián)邦調(diào)查局(FBI)特工查爾斯·培弗萊茨(Charles Pavelites)說。
具體實(shí)例
加大投資未必能增強(qiáng)企業(yè)的安全性。在最近舉行的一次黑客競(jìng)賽中,塔吉特百貨是最難以被攻破的企業(yè)之一。雖然塔吉特百貨每年用于安全的開支約為甲骨文的一半,但由于競(jìng)賽中的很多目標(biāo)企業(yè)并沒有進(jìn)行社交工程方面的培訓(xùn),因此根據(jù)競(jìng)賽組織方Social-Engineer.org發(fā)布的報(bào)告,甲骨文是最不安全的網(wǎng)站。“企業(yè)放在互聯(lián)網(wǎng)上的機(jī)密信息之多令人震驚。”Social-Engineer.org創(chuàng)始人克里斯·海德納吉(Chris Hadnagy)說。
塔吉特百貨表示,該公司仍將認(rèn)真保護(hù)信息,并繼續(xù)投資安全技術(shù)。甲骨文則拒絕對(duì)此置評(píng)。
通常而言,客服代表是大企業(yè)的第一道安全屏障。但黑客表示,由于流動(dòng)性較大,且薪水和意識(shí)較低,這些員工很容易被騙。“只要你表現(xiàn)得足夠鎮(zhèn)定,他們通常都會(huì)為你提供任何信息。”著名黑客組織Anonymous的一名成員說。
在上文那場(chǎng)名為Schmooze Strikes Back的黑客競(jìng)賽中,參賽者謝恩·麥克道格爾(Shane MacDougall)只在網(wǎng)上瀏覽了幾個(gè)小時(shí)就找到了足以突破甲骨文防御系統(tǒng)的信息。他在甲骨文網(wǎng)站上找到了一段甲骨文Redwoods Shores安全設(shè)施的視頻。除此之外,他還找到了一張照片,其中的一名員工的工卡信息清晰可見。
借助這些信息,麥克道格爾偽裝成了一名為政府合同搜集信息的甲骨文員工。他致電分公司辦事處,并花了25分鐘的時(shí)間說服一名并不知情的員工向他泄露了甲骨文運(yùn)營系統(tǒng)和反病毒系統(tǒng)的細(xì)節(jié)信息。他隨后利用這些信息成功竊取了敏感的用戶數(shù)據(jù)。
“如果通過聊天就能進(jìn)入系統(tǒng),搞這些安全措施還有什么用?”麥克道格爾說。
推薦閱讀
“網(wǎng)絡(luò)碰瓷”頻仍:網(wǎng)店不給錢就不撤銷差評(píng)
“網(wǎng)絡(luò)碰瓷”是由一群所謂的“差評(píng)師”發(fā)起的,他們以給網(wǎng)店“差評(píng)”為要挾,敲詐勒索50元到100元。如果網(wǎng)店賣家選擇息事寧人,那就正好中招。“網(wǎng)絡(luò)碰瓷”的另一種手段是由所謂的“退貨師”發(fā)起的,他們其實(shí)是騙保。>>>詳細(xì)閱讀
本文標(biāo)題:黑客瞄準(zhǔn)社交工程技術(shù):資金投入難保系統(tǒng)安全
地址:http://www.sdlzkt.com/a/guandian/yejie/20111230/178069.html
網(wǎng)友點(diǎn)評(píng)
精彩導(dǎo)讀
科技快報(bào)
品牌展示