• 媒体品牌
    爱范儿
    关注明日产品的数字潮牌
    APPSO
    先进工具,先知先行,AIGC 的灵感指南
    董车会
    造车新时代,明日出行家
    玩物志
    探索城市新生活方式,做你的明日生活指南
  • 知晓云
  • 制糖工厂
    扫描小程序码,了解更多

iCloud 账户被黑,需警惕 “社会工程学” 攻击

公司

2012-08-06 19:01

曾经泄漏 iPhone 4 原型的 Gizmodo 最近遭遇一场事故。

网站的 Twitter 账号出现异常,一个自称 ClanVv3 黑客组织劫持了该账号,而且还在上面发表带有 “Nigger” 这种侮辱他人的字眼的句子,直接影响了 41 万名读者。

原因是前 Gizmodo 编辑 Mat Honan 被黑客 “光顾”——两天前,他正在陪着女儿玩耍的时候,突然间他的 iPhone 重启,当时他没有在意。后来,他打开 MacBook Air,iCal 提醒他账户信息错误,紧接着屏幕变暗,要 Honan 输入 4 位 PIN 码才能重新开机。

不到二十分钟,Honan 的 iPhone、iPad、MacBook Air 全部沦陷,都被黑客设置了新的密码,无法操作。

请注意,一名黑客与他联系,称 “没有尝试去猜、暴力破解密码”。换言之,他的密码并没有泄漏出去,黑客也没有经由网络入侵他的电脑。

后来 Honan 在黑客与苹果客服之间来回了解才明确,原来黑客通过呼叫苹果的客户服务中心,以社会工程学的方式,绕开了那些安全问题,成功为 Honan 的 iCloud 账户设置了新密码,获得了与 iCloud 账户相连设备的控制权。

然后黑客入侵了 Honan 的 Twitter 账号——在 Gizmodo 工作的时候,他为了方便,将自己的 Twitter 账号与 Gizmodo 官方账号相连。黑客们间接获得了 Gizmodo Twitter 账号的控制权——这就是为什么 Gizmodo 遭遇一场事故的真相。

Honan 将那天称之为 “糟糕的一个晚上”。因为没有备份的习惯,他手机上、MacBook Air 上的资料都被清洗。 ClanVv3 不允许组织成员向外泄漏入侵目标的个人资料,没有造成更大的损失。

他给 Tim Cook 以及公共关系部门写了一封电邮,提醒他们在内部工作流程上要漏洞。虽然没有收到 Tim Cook 的回复,但在他发出电邮 10 分钟之后,AppleCare 部门给他打了一通电话,称 Honan 得到高度重视,现在确认公司内部只有一个人能够修改他的密码。

Woz 担心云服务在未来五年暴露可怕的问题,他的担忧不无道理——人的心理弱点很多,社会工程学攻击让人防不胜防。

所谓社会工程学,就是一种通过针对受害者心理弱点、本能反应、好奇心、信任、贪婪等设置心理陷阱进行欺骗、伤害等危害手段,取得自身利益的手法。在 Honan 这件事上,黑客通过电话进行社会工程学攻击。

根据赛门铁克的资料,为客户提供信息咨询等服务的人特别容易遭受此类攻击。因为从事这类工作的人,本身被训练成毫无保留告诉自己所知道的——这一职业特点往往会被他人利用。

资料中虚构了某公司咨询台高级主管 “贝蒂” 这个角色,讲解她是如何被骗的:

一个人打电话到电话公司,经过转接,到达咨询台。“谁是今晚当班的?”“哦,是贝蒂。”“请贝蒂听电话。” 他的电话被转接给贝蒂。“你好贝蒂。倒霉的一天对不对?”“没有啊,为什么?”“你的系统崩溃了。” 她说:“我的系统没有崩溃,我们一切正常。” 他说:“你最好注销看看。” 贝蒂注销了系统。他说,“现在登陆。”

贝蒂再一次登陆了系统。他说,“我们这里一点显示都没有,我没看到你的状态有任何变化。再注销。” 贝蒂又再一次的注销。“贝蒂,我必须用你的账号登陆,看看你的账号出了什么问题。把账号和密码告诉我。” 接着,这个咨询台高级主管把账号和密码都告诉了他。

苹果的客户服务人员刚好属于这种类型。

在社会上,通过社会工程学从而欺诈他人的实力已经不少。之前不少犯罪分子通过冒充公安局人员,以涉及洗钱案要冻结银行账户为由,欺诈了不少人的钱财——像这样的案例,在网络上长篇累牍。

而在社交网络中, 发起社会工程学攻击也十分容易。之前巴西的安全专家 Nelson Novaes Neto 就曾经尝试以另外一个网络安全专家为目标,以对方的公开身份资料注册了一个假账号,不但成为目标人物朋友的朋友,最终还成为目标本人的好友——达到了获得三个信任好友的目标后,他可以修改目标人物账户的邮箱以及密码。

Honan 这件事反映 “社会工程学” 的危害性,也反映苹果和微软所采用的 “统一 ID” 机制的风险。黑客只要获得 “统一 ID” 的控制权,他就可以控制你的主要电子设备,包括手机、平板、电脑,乃至其它网络服务。

或许苹果可以听听 Gizmodo 以及很多网友的建议——采用和 Google 一样的 “两步验证 ” 方法:用户登录 Google 账户时,除了要输入用户名和密码外,还需要输入 Google 通过短信或者语音留言发送的验证码。这样即便黑客获得了你的密码,也没办法访问你的手机和电脑,因为他的手机无法接收来自 Google 动态声称的验证码,在无法通过验证的情况下,Google 不会允许黑客登陆账户,那么黑客最终无法修改你的密码,也就无法控制你的账号。

Honan 说,他将会在 Wired 上详细描述一遍事情的详细经过。我也期待苹果针对这件事,会发表怎样的回应。

题图来自 funatoz

登录,参与讨论前请先登录

评论在审核通过后将对所有人可见

正在加载中