决胜细节

你觉得自己的姓名和电话号码很简单吗?可以随意告诉别人?

事实上没那么简单。最新调查发现,只需要少数的个人信息就可以让您非常容易被攻击。

这件事就发生在 Erynn Tomlinson 身上。在黑客与罗杰斯客户服务代表的交互中使用她的一些个人详细信息以最终获得对她的帐户的访问权之后,这位前加密货币执行官在加密货币中损失了大约 30,000 美元。

“我不知道如何描述它。我对整个事情感到震惊,” Tomlinson 说,骇客偷走了她计划用于抵押贷款的储蓄。

Tomlinson 是困扰电信行业的最新类型攻击的受害者:这种攻击被称为SIM交换,骇客使用的是社交工程技术。

社交工程欺诈通常通过电子邮件、电话或文本发生 — — 或者通过在线聊天窗口发生,这就是在 Tomlinson 的情况下发生的。骇客使用魅力和说服力来诱导客户服务代表认为他们实际上是账户持有人。

这就需要骇客实际拥有一些公开的个人信息:一个人的姓名,电子邮件地址,生日,邮政编码或电话号码。如果你曾经在线公开过这些信息(大多数人都这么做过)那么本案例应该能提出警告:你已经非常危险。

攻击者利用这些可以轻易获取的并且很有说服力的信息做诱饵,以令服务代表交出更多的信息并最终获得对帐户的完全访问权限。

请注意,在 Tomlinson 案中,攻击者仅仅拥有她的名字和电话号码。通过一系列八种不同的在线聊天,骇客设法获得了她的出生日期、电子邮件地址、帐号、信用卡的最后四位数字以及有关其帐户的其他详细信息。

有了这些信息,攻击者就能说服罗杰斯代表激活一张与 Tomlinson 帐户相关联的新SIM卡,然后将其存入他们所拥有的手机中。

一旦攻击者执行了SIM卡交换,他们就可以使用自己的手机访问 Tomlinson 的一些敏感帐户,包括那些与她的财务相关的帐户。

Tomlinson 在她的敏感帐户上使用了双因素身份验证,这是一个额外的安全步骤,可在授予访问权限之前向您的手机发送消息。 而SIM卡交换攻击允骇客将这些传入的消息转移到新设备上,有效地绕过了她的安全措施 — — 这就是为什么我们一再强调短信双因素验证并不可靠。

当她的手机停止工作时,她首先意识到出了什么问题。在附近的咖啡馆停下来使用Wi-Fi之后,她发现自己的一个财务账户被清零了。她赶回家,登录了其他帐户,发现一切都没了。

总的来说,攻击者窃取了相当于30,000美元的加密货币。

“我希望这是一个极端的例子,”她说,“但是必须承认……现在每个人都面临着这样的风险。”

的确如此。世界各地的公司都表示社交工程攻击正在上升。

加拿大联邦隐私专员现在要求所有公司报告任何安全或隐私泄露事件。自2018年11月以来,仅在该国的电信部门就发生了十多起社交工程漏洞报告。

在一封电子邮件中,隐私专员办公室告诉 Marketplace,这一趋势“明显引起了人们的关注”。

社交工程欺诈的爆发对道德黑客和网络安全专家 Joshua Crumbaugh 来说并不奇怪。攻击者只是在利用人性的基本弱点或者漏洞。

想要帮助和避免冲突是人的本性,这就是为什么 Crumbaugh 说成功的社交工程攻击的关键取决于谁主动上钩。如果一个不愿意上钩,那可能就是下一个。

这只是心理学。所以,如果你能理解某人对某事的反应,你就可以轻易地操此人给你信息、或者让他们做不应该做的事。

为了了解罗杰斯如何回应社交工程攻击,市场要求 Crumbaugh 试图入侵 Marketplace 主持人 Charlsie Agro 的个人账户,只向他提供她的姓名和电话号码。

在第一次尝试时,Crumbaugh 称该公司的客服为 Agro 的私人助理。电话很快就结束了,对方拒绝让 Crumbaugh 访问该帐户,除非 Agro 亲自打电话并将其添加为用户。

几分钟后他再次打电话,这次对方是不同的代表,他根本没有掩饰自己的声音。这一次,对方要求 Agro 的生日和电子邮件地址作为验证,Crumbaugh 在网上进行了一些快速搜索后就可以提供了。

对方还要求 Crumbaugh 提供帐户附带的PIN和邮政编码。 Crumbaugh猜到了PIN,然后在网上搜索后提供了一个邮政编码。两个号码都错了一位,但是对方仍然允许 Crumbaugh 访问该帐户了。

Crumbaugh 认为公司需要更好地教育他们的客服代表如何识别和预防社会工程攻击者。

Marketplace 询问加拿大无线和电信协会 — 无线行业的主要游说团体等,问他们正在做些什么来帮助保护消费者免受社交工程攻击。

CWTA主席 Robert Ghiz 表示,其每个成员都对自己的安全负责,但公司已采取措施保护客户的数据安全,包括PIN,密码,安全问题和语音识别。

他还表示,许多电信公司正在为其员工进行培训,他认为保护消费者免受社交工程攻击是 CWTA 成员的首要任务。

“必需教育那些前线服务和培训这些服务人员 — 需要时刻保持警惕,”Ghiz 说。

当 Marketplace 指出不正确的PIN和邮政编码并没有阻止渗透测试人时,Ghiz 依然认为现有的安全措施基本上有效,并辩称每周有数百万的电话,“总会有一些人为错误存在,”他说。

Mitnick 已经入侵了40多家公司,从麦当劳到摩托罗拉,曾经是联邦调查局最想要的人之一 — 最终因电脑和手机黑客入狱五年。如今他经营着一家企业,为他曾经瞄准的公司指出安全漏洞。

Mitnick 说,社交工程攻击每天都在发生,而且这通常是攻击者采取的第一个技术,因为“打电话给某人比做你需要闯入电脑的技术魔术要容易得多”。他说,如果您对提供商为保护您的帐户所采取的措施不满意,请使用您的钱包进行投票。

他说,“消费者只能要求改变 — 如果他们不愿意这样做,你会去另一家供应商。”

Crumbaugh 说,消费者也可以通过某些方式帮助自己。

首先,如果可能,请在您的帐户中设置PIN码。随机选择四位数,千万不要它们连接到一个易于猜测的生日或地址。

并且,为常见的安全问题创建假答案,例如“你妈妈的娘家姓名是什么”。例如,不要使用您的狗的真实姓名,如果您这样做了,就请不要公开该信息。

时刻记住,社交媒体是攻击者首先寻找有关您的密码和常见安全问题答案的线索之一,例如您的出生日期以及您度蜜月的地方等。

“这么多人会用他们孩子的名字或出生日期或他们的宠物的名字作为密码,然后你去他们的社交媒体上看看就知道了,他们已经发布了一百万张标记着狗的名字的图片,他们’基本上等于把自己的密码放在那里供所有人看,“C​​rumbaugh 说。

永远不要轻视小细节;人是最危险的因素。甚至,您可以怀疑那些主动提供私人信息的人,这样的人至少非常明显地不懂得自我保护,于是他们也非常可能不会保护你,他们会暴露你的重要信息,和他们交往会出现危险。

Social engineering is the new method of choice for hackers. Here’s how it works. IT executive who lost $30,000 worth of cryptocurrency says ‘every Canadian is at risk

广告

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据