國外媒體今天撰文稱,隨著社交網站的日益受寵,利用“社交工程”(Social Engineering)技術攻擊企業網站的行為日益增多,這也使得各大企業難以憑借單純的技術投入確保系統安全。
以下為文章全文:
危險信號
克里斯·派滕(Chris Patten)向一家大型投資管理公司報告稱,他即將離婚,并且擔心他的妻子已經用假名開設了賬戶。
這種情況完全可能,但在這個案例中,派滕卻撒了謊。不過這一事件的關鍵在于,這家投資公司的客服代表很快就將用戶賬號和其他詳細信息交給了派滕,這令銀行和其他企業感到后怕。
派滕是一名35歲的網絡安全專家,曾經就職于美國空軍,后來在堪薩斯城創辦了一家咨詢公司。但他欺騙投資公司的目的并非使用或銷售這些數據,而是為了對這些企業的安全情況進行調查。安全專家和執法人員表示,投資公司員工輕易泄露用戶信息的行為是一種危險的信號。
隨著銀行和其他大型企業開始投入大量資金建設防火墻,并使用復雜的技術來加強系統安全,黑客們逐漸將目光轉向了這些企業的員工。
Gartner分析師艾維瓦·里坦(Avivah Litan)表示,由于需要遵守全新的用戶認證流程,并加強對其他犯罪活動的抵御能力,大型企業今年的網絡安全總投資額有望達到數百億美元,較2010年最高增長15%。但類似于派滕所使用的這種低科技方法卻仍然可以獲得成功,這表明單純加大投資無法使各大銀行確保用戶信息的萬無一失。
社交工程
“黑客突破防火墻和其他技術障礙的困難越來越大,所以他們開始回歸低科技的攻擊方法。”自動取款機制造商Diebold的安全主管大衛·肯尼(David Kennedy)說。他還表示,派滕所使用的方法在安全領域被稱作“假托技術”(pretexting)或“社交工程”,這已經成為他的企業目前面臨的最大威脅之一。
銀行也意識到了這種威脅,并且開始考慮部署更為嚴格的用戶身份認證標準等流程。當用戶要取回用戶名和密碼時,美國銀行已經不再簡單地要求其向客服代表提交家庭住址,還必須要知道交叉路口。他們還有可能要求用戶回憶其他信息,例如該賬號最近的三筆交易情況。
但能夠避免引起用戶不快的安全措施卻并不多見。“我們不想給用戶造成太大負擔。”美國銀行反欺詐主管羅伯特·史福萊特(Robert Shiflet)說。
根據美國1999年頒布的一部法律,使用虛假借口從金融機構獲取他人信息的行為屬于犯罪,而美國《聯邦貿易委員會法》也禁止了這種欺詐行為。隨著Facebook和LinkedIn等社交網站逐漸受到追捧,黑客發現,要通過互聯網獲取有用的個人信息越來越容易。
“你披露的信息越多,別人能竊取的信息也就越多。”美國聯邦調查局(FBI)特工查爾斯·培弗萊茨(Charles Pavelites)說。
具體實例
加大投資未必能增強企業的安全性。在最近舉行的一次黑客競賽中,塔吉特百貨是最難以被攻破的企業之一。雖然塔吉特百貨每年用于安全的開支約為甲骨文的一半,但由于競賽中的很多目標企業并沒有進行社交工程方面的培訓,因此根據競賽組織方Social-Engineer.org發布的報告,甲骨文是最不安全的網站。“企業放在互聯網上的機密信息之多令人震驚。”Social-Engineer.org創始人克里斯·海德納吉(Chris Hadnagy)說。
塔吉特百貨表示,該公司仍將認真保護信息,并繼續投資安全技術。甲骨文則拒絕對此置評。
通常而言,客服代表是大企業的第一道安全屏障。但黑客表示,由于流動性較大,且薪水和意識較低,這些員工很容易被騙。“只要你表現得足夠鎮定,他們通常都會為你提供任何信息。”著名黑客組織Anonymous的一名成員說。
在上文那場名為Schmooze Strikes Back的黑客競賽中,參賽者謝恩·麥克道格爾(Shane MacDougall)只在網上瀏覽了幾個小時就找到了足以突破甲骨文防御系統的信息。他在甲骨文網站上找到了一段甲骨文Redwoods Shores安全設施的視頻。除此之外,他還找到了一張照片,其中的一名員工的工卡信息清晰可見。
借助這些信息,麥克道格爾偽裝成了一名為政府合同搜集信息的甲骨文員工。他致電分公司辦事處,并花了25分鐘的時間說服一名并不知情的員工向他泄露了甲骨文運營系統和反病毒系統的細節信息。他隨后利用這些信息成功竊取了敏感的用戶數據。
“如果通過聊天就能進入系統,搞這些安全措施還有什么用?”麥克道格爾說。
推薦閱讀
“網絡碰瓷”是由一群所謂的“差評師”發起的,他們以給網店“差評”為要挾,敲詐勒索50元到100元。如果網店賣家選擇息事寧人,那就正好中招。“網絡碰瓷”的另一種手段是由所謂的“退貨師”發起的,他們其實是騙保。>>>詳細閱讀
地址:http://m.sdlzkt.com/a/guandian/yejie/20111230/178069.html
網友點評
精彩導讀
科技快報
品牌展示