黑客瞄准社交工程 巨额投入难保系统安全

危险信号

克里斯·派滕(Chris Patten)向一家大型投资管理公司报告称,他即将离婚,并且担心他的妻子已经用假名开设了账户。

这种情况完全可能,但在这个案例中,派滕却撒了谎。不过这一事件的关键在于,这家投资公司的客服代表很快就将用户账号和其他详细信息交给了派滕,这令银行和其他企业感到后怕。

派滕是一名35岁的网络安全专家,曾经就职于美国空军,后来在堪萨斯城创办了一家咨询公司。但他欺骗投资公司的目的并非使用或销售这些数据,而是为了对这些企业的安全情况进行调查。安全专家和执法人员表示,投资公司员工轻易泄露用户信息的行为是一种危险的信号。

随着银行和其他大型企业开始投入大量资金建设防火墙,并使用复杂的技术来加强系统安全,黑客们逐渐将目光转向了这些企业的员工。

Gartner分析师艾维瓦·里坦(Avivah Litan)表示,由于需要遵守全新的用户认证流程,并加强对其他犯罪活动的抵御能力,大型企业今年的网络安全总投资额有望达到数百亿美元,较2010年最高增长15%。但类似于派滕所使用的这种低科技方法却仍然可以获得成功,这表明单纯加大投资无法使各大银行确保用户信息的万无一失。

社交工程

“黑客突破防火墙和其他技术障碍的困难越来越大,所以他们开始回归低科技的攻击方法。”自动取款机制造商Diebold的安全主管大卫·肯尼 (David Kennedy)说。他还表示,派滕所使用的方法在安全领域被称作“假托技术”(pretexting)或“社交工程”,这已经成为他的企业目前面临的最大威胁之一。

银行也意识到了这种威胁,并且开始考虑部署更为严格的用户身份认证标准等流程。当用户要取回用户名和密码时,美国银行已经不再简单地要求其向客服代表提交家庭住址,还必须要知道交叉路口。他们还有可能要求用户回忆其他信息,例如该账号最近的三笔交易情况。

但能够避免引起用户不快的安全措施却并不多见。“我们不想给用户造成太大负担。”美国银行反欺诈主管罗伯特·史福莱特(Robert Shiflet)说。

根据美国1999年颁布的一部法律,使用虚假借口从金融机构获取他人信息的行为属于犯罪,而美国《联邦贸易委员会法》也禁止了这种欺诈行为。随着Facebook和LinkedIn等社交网站逐渐受到追捧,黑客发现,要通过互联网获取有用的个人信息越来越容易。

“你披露的信息越多,别人能窃取的信息也就越多。”美国联邦调查局(FBI)特工查尔斯·培弗莱茨(Charles Pavelites)说。

具体实例

加大投资未必能增强企业的安全性。在最近举行的一次黑客竞赛中,塔吉特百货是最难以被攻破的企业之一。虽然塔吉特百货每年用于安全的开支约为甲骨文(微博)的一半,但由于竞赛中的很多目标企业并没有进行社交工程方面的培训,因此根据竞赛组织方Social-Engineer.org发布的报告,甲骨文是最不安全的网站。“企业放在互联网上的机密信息之多令人震惊。”Social-Engineer.org创始人克里斯·海德纳吉(Chris Hadnagy)说。

塔吉特百货表示,该公司仍将认真保护信息,并继续投资安全技术。甲骨文则拒绝对此置评。

通常而言,客服代表是大企业的第一道安全屏障。但黑客表示,由于流动性较大,且薪水和意识较低,这些员工很容易被骗。“只要你表现得足够镇定,他们通常都会为你提供任何信息。”著名黑客组织Anonymous的一名成员说。

在上文那场名为Schmooze Strikes Back的黑客竞赛中,参赛者谢恩·麦克道格尔(Shane MacDougall)只在网上浏览了几个小时就找到了足以突破甲骨文防御系统的信息。他在甲骨文网站上找到了一段甲骨文Redwoods Shores安全设施的视频。除此之外,他还找到了一张照片,其中的一名员工的工卡信息清晰可见。

借助这些信息,麦克道格尔伪装成了一名为政府合同搜集信息的甲骨文员工。他致电分公司办事处,并花了25分钟的时间说服一名并不知情的员工向他泄露了甲骨文运营系统和反病毒系统的细节信息。他随后利用这些信息成功窃取了敏感的用户数据。

“如果通过聊天就能进入系统,搞这些安全措施还有什么用?”麦克道格尔说。