几十年来,我们听说了无数家喻户晓的黑客故事,他们使用复杂的社会工程技术,在既无任何暴力威胁,也无其他虐待或鲁莽行为的情况下,操纵目标交出机密信息。
问题是,这样的故事会影响人们对现实的把握。人们可能盲目地认为,了解了这么多关于这种技术的故事,就应该知道并有效地规避这些把戏。但遗憾的是,事实并非如此。以下是近年来三起最为引人注目的案例,表明社会工程仍然是一个潜在威胁,也许比以往任何时候都更严重。
学生也能黑进中央情报局局长的电脑
让我们从一个很容易被拿来拍好莱坞电影的故事开始。然而,它将不是一部动作惊悚片,而是一部讽刺喜剧。
2015年10月,一个自称为“Crackas With Attitude”的黑客组织利用社会工程技术进入了美国中央情报局(CIA)局长约翰·布伦南(John Brennan)的个人AOL账户。黑客攻击事件发生后,该组织接受了《纽约邮报》的电话采访,其中一名成员声称自己只是一名美国高中生。
尽管中情局局长的电子邮件是私人的,但它透露了许多与其工作有关的机密信息,特别是,十多名美国高级情报官员的社会安全号码和其他个人信息,以及布伦南本人提交的一份长达47页的绝密忠诚调查(对参加秘密工作人员等进行的一项调查)申请。
同年11月,故事还在继续:这次黑客攻击了另一位高级官员、联邦调查局(FBI)副局长马克·朱利亚诺(Mark Giuliano)及其妻子的AOL个人账户。这一次,黑客窃取了有关3500名美国执法机构雇员的姓名、电子邮件地址和电话号码等信息,这些信息后来被公之于众。
就在几个月后,也就是2016年1月,这些黑客又获得了美国国家情报局局长詹姆斯·克拉珀(James Clapper)的一系列个人账户。最后,在2016年2月,他们公开发布了9000名美国国土安全部员工和2万名联邦调查局员工的数据。犯罪分子声称这些数据都是他们通过入侵美国司法部获得的。
同月,其中一名黑客被捕。他确实是一个高中生,但并非美国人,而是英国人,名叫凯恩·甘布尔(Kane Gamble,又名Cracka)。结果,这名年轻的黑客(犯罪时只有15岁)被认定为该组织的头目,在英国被判处两年监禁(最终服刑8个月),并在此期间被禁用互联网(他完全遵守了这一规定)。几个月后,“Crackas With Attitude”组织的另外两名成员在美国被拘留:23岁的安德鲁·奥托·博格斯(Andrew Otto Boggs)被判入狱两年,25岁的贾斯汀·格雷·利弗曼(Justin Gray Liverman)被判入狱五年。
据悉,在活跃期间——从2015年6月到2016年2月——年轻的Gamble曾成功地假扮成中央情报局局长,并以他的名义从呼叫中心和热线员工那里骗取了密码。利用它们,该组织设法获得了与阿富汗和伊朗情报行动有关的高度敏感文件。谁知道,如果他们没有决定公开嘲讽中央情报局局长、联邦调查局副局长和美国国家情报局局长,这些黑客们会不会被抓住呢?
拜登、奥巴马、盖茨等人的推特账户被黑
下述事件发生在2020年7月15日,当时一大波推特账户开始传播类似的信息:“所有发送到以下地址的比特币将被双倍退回!如果你发送1000美元,我将退回2000美元。活动仅限30分钟!”这看起来像是一个典型的比特币骗局,但值得一提的是:所有这些涉事账户都确实属于名人和大型公司。
最开始,这些骗局信息是出现在与加密货币直接相关的推特账户上:这个骗局是由币安(Binance)创始人Changpeng Zhao和其他几家加密货币交易所(包括Coinbase)以及加密新闻网站CoinDesk联合“宣布”的。但它并未止步于此,之后,越来越多的知名企业家、名人、政治家和公司账户开始一个接一个地加入这场狂欢,包括苹果、优步、巴拉克·奥巴马、埃隆·马斯克、金·卡戴珊、比尔·盖茨、乔·拜登(当时还不是总统)、杰夫·贝佐斯、坎耶·韦斯特等等。
【来自埃隆·马斯克被黑账户的推文】
在Twitter试图找出问题根源的几个小时内,黑客设法集资了超过10万美元——这是一笔不小的数目,但与该公司遭受的声誉打击相比,这根本不算什么。问题很快就清楚了,起因是黑客侵入了Twitter的内部账户管理系统。
结果,黑客很快就被发现并逮捕了,这个组织的头目也是一个学生——这次是美国人,当时年仅17岁的格雷厄姆·伊万·克拉克(Graham Ivan Clark)。他被判入狱三年,缓刑三年。然而,更重要的是,调查确定,这次攻击是在没有内部人员帮助的情况下进行的。相反地,黑客们混合使用社会工程和网络钓鱼来欺骗Twitter员工,从而获得了系统访问权限。
首先,黑客研究了LinkedIn的个人资料,以确定可能有权访问该账户管理系统的员工。接下来,使用LinkedIn的招聘功能,他们收集了目标的联系信息,包括手机号码等。然后,黑客们假装成同事,给这些员工打电话,并利用这些数据说服他们访问一个模仿Twitter内部登录页面的钓鱼网站。通过这种方式,攻击者最终获得了密码和双因素认证码,从而成功登录Twitter账户管理系统,并掌控了数十个拥有数百万关注者的大V账号。
还是那句,谁知道如果他们没有瞄准世界TOP10富豪榜的一半,以及其他知名人士,最重要的是,前美国总统和未来美国总统的推特账户,他们是否会被抓住。
Sky Mavis和五亿美元的抢劫案
这是发生在2022年的故事。当时,开发商Sky Mavis凭借NFT游戏《Axie Infinity》赚得盆满钵满。数据显示,在巅峰时期,这款游戏的日用户高达270万,周收益高达2.15亿美元。
然而,在2022年3月(加密货币崩盘前),Sky Mavis就发现自己陷入了严重的麻烦。黑客针对支撑Axie Infinity所有加密货币活动的Ronin Network发起了攻击,并从该公司的账户中窃取了173,600 ETH和2550万USDC,时值约5.4亿美元。
到了2022年7月,抢劫案的细节才最终浮出水面。攻击者通过一家假冒公司在领英(LinkedIn)上联系了Sky Mavis的员工,邀请他们参加工作面试。最终,一名高级工程师上钩,并在经过几轮面试后成功得到了这份非常诱人的工作。虚假报价以受感染的PDF格式发送,黑客由此成功进入了该公司的内部网络。
有了进入公司网络的权限后,黑客便能够获得用于确认交易的私钥,然后提取加密货币。他们还通过一个复杂的计划对被盗资金进行洗钱操作,该计划涉及两个密码混合器和大约12,000个中间加密钱包,然后将其转换为比特币,随后将其套现。
参与此次调查的分析人士认为,这次攻击与朝鲜组织“拉撒路”相关。在抢劫案发生后的六个月里,直到调查结束,加密市场崩溃,导致以太坊汇率暴跌。
社会工程常见攻击方法及防范建议
网络钓鱼
网络钓鱼是最常见的社会工程技术之一。网络犯罪分子发送看似来自合法来源的电子邮件、短信或私信,诱骗受害者提供敏感信息或点击恶意链接。
预防方法:
- 验证发件人的电子邮件地址并查找不一致之处;
- 提防那些不明来源的邮件或信息;
- 将鼠标悬停在链接上以查看实际的URL,核实后再点击;
- 使用双因素身份验证来保护邮件账户;
假托(Pretexting)
假托是指创建一个虚构的场景或冒充一个受信任的人来欺骗受害者泄露敏感信息或授予访问资源的权限。
预防方法:
- 通过可信赖渠道来验证联系人员的身份;
- 在电话或网上分享个人信息时要谨慎;
- 培训员工了解公司处理敏感信息的规程;
诱饵(Baiting)
诱饵是指通过奖励(如免费软件或礼物)来引诱受害者,以获取敏感信息或访问系统的权限。
预防方法:
- 警惕那些好得令人难以置信的礼物;
- 仅从可信来源下载软件;
- 核实任何不请自来的优惠或促销信息;
一物换一物(Quid Pro Quo)
这种攻击是指提供某种服务或利益以换取隐私信息或访问权限。例如,攻击者可能冒充公司IT支持人员,请求受害者提供账号登录凭据以“修复”某个并不存在的安全问题。
预防方法:
- 验证任何信息或访问请求的合法性;
- 为不同账户使用唯一且强大的密码;
- 在组织内实施严格的访问控制和协议。
尾随(Tailgating)
尾随攻击是指未经授权的个人尾随授权人员进入安全区域,以绕过门禁或生物识别扫描仪等安全措施。
预防方法:
- 实施严格的访问控制策略;
- 教育员工不要随意为别人开门的重要性;
- 使用安全摄像头监控出入口。