國家等級的駭客,如伊朗已經對美國軍方官員進行了長達一年的活動。網路釣魚(Phishing) 會成功,通常就是因為目標無法從正常的郵件中區分出詐騙的信件。
社交工程( social engineering )手法 數以百萬的使用者個人資料被外洩 – 不單單只是電子郵件地址和使用者名稱。那些擁有eBay資料的人現在手上握著出生日期、地址甚至是電話號碼,利用這些資料可以讓他們製作非常具有說服力的釣魚網站。從你的所在地區,加上根據你的年齡會吸引你的事物等等作法,網路犯罪分子可以大大地增加你會回應網路釣魚郵件的機率。
如果Target是2013年最知名的入侵外洩受害者 – 出現網路安全事件而讓數以百萬購物者資料被侵害 – 那2014年也出現了一名領先者,eBay在年初遭受到網路攻擊,攻擊者取走某些服務內1.28億註冊用戶的敏感資料。被入侵的資料庫可能包含這些人的電子郵件地址和住家地址、加密過密碼、出生日期和電話號碼。
根據事件的時間點,有可能是因為OpenSSL加密程式庫的Heartbleed漏洞 – 公開但尚未被發現時 – 被用來躲過eBay的防禦。無論如何,eBay公司PayPal的資產,包括支付卡和銀行帳戶的大量資料躲過這一劫,因為它們被放在獨立的網路。
社交工程在eBay入侵外洩事件中扮演重要角色
如果不知道是否有任何密碼漏洞,攻擊者會更加需要利用社交工程( social engineering )
社交工程,也就是用欺騙的方式,現在網路犯罪分子著重於金錢更甚於出名 ,所以大量的加以使用。它可能會用各種的形式出現。趨勢科技 TrendLabs的報告 – 「社交工程如何運作」強調了常用的招數,例如假的「必點」社群媒體文章,要求立即採取行動的可疑電子郵件,和賽季或節日相關的太過優惠促銷 等。
與此同時,員工並沒有接受足夠的安全意識培訓。一份來自Enterprise Management Associates在2014年的研究發現,有超過一半的工作者沒有接受任何的安全意識培訓(SAT) 。該報告調查了各種規模企業的600人。沒有安全意識培訓,人們可能容易在不安全的地方輸入認證資料或點入惡意連結
並不是只有一般網路犯罪份子會利用社交工程( social engineering )
在eBay案例中,社交工程( social engineering )
攻擊者如何獲得eBay員工的認證資料?BH顧問公司執行長Brian Honan對Help Net Security說道,認為他們是用魚叉式網路釣魚來騙過eBay員工 。如果這是真的,這種戰術可以成功似乎表示eBay的安全措施缺乏足夠的存取控制和雙因子認證機制,任何一個都可以阻止網路犯罪份子只用一個使用者名稱和密碼就闖過大門。
eBay 外洩事件的長期影響:更多社交工程
社交工程( social engineering ) 網路釣魚(Phishing) 會成功,通常就是因為目標無法從正常的郵件中區分出詐騙的信件。
的確有大量的日常電子郵件和社交媒體文章是使用者可以立刻發現有問題的。拼寫錯誤、超長網址和致富計劃都是常見而容易發現的警訊。網路犯罪會使用這些作法是因為還不夠瞭解特定目標,所以將網做的越大越好,希望可以網到一些東西。
但社交工程( social engineering )
「你看,比方說,eBay外洩事件,」Tripwire技術長Dwayne Melancon告訴PC World。「數以百萬的使用者個人資料被外洩 – 不單單只是電子郵件地址和使用者名稱。那些擁有eBay資料的人現在手上握著出生日期、地址甚至是電話號碼,利用這些資料可以讓他們製作非常具有說服力的釣魚網站。從你的所在地區,加上根據你的年齡會吸引你的事物等等作法,網路犯罪分子可以大大地增加你會回應網路釣魚郵件的機率。」
魚叉式網路釣魚會在eBay和Target攻擊後變得更加複雜。企業需要用現代化網路安全措施和雙因子認證來加以防範,以避免代價高昂的資料外洩事件。
企業可以做些什麼來避免像eBay這樣的事件?
eBay處理這起外洩事件很有啟發性。它有幾件事情做的不錯(如早期發現網路入侵)和一些比較不理想的地方,最顯著的是延遲給公眾的報告。這裡有一些重點給想要更好應對此類事件的企業:
eBay友善的請求其所有用戶重置密碼。在這種情況下,強迫大家改變登錄資料會是比較好的作法,因為如果可以自由選擇,很多人不會這樣做。 繼續閱讀
