#1
|
||||
|
||||
兩通電話,騙走價值 5 萬美金的 Twitter 帳號
原文連結
這是一個有點驚悚的故事。原來我們的網路人身安全不必高超的破解技術,掌握網站的所謂「驗證」機制,打幾通電話、寫幾封電子信件,運用一點「社交」的技倆,有心人士就能輕易鳩佔鵲巢,你的網路身份從此讓位給陌生人。 資安防火牆建造得再堅強,設計得再精密,仍可能不堪一擊,畢竟人性的弱點最難防。這就是「社交工程」,social engineering,玩弄資安最脆弱的環節「人心」於股掌之間。 矽谷創業家 Naoki Hiroshima 在《Medium》上發表文章,陳述他的 Twitter 帳號 @N 慘遭勒索的故事1。 @N 價值連城,有人想用 5 萬美金買下它,也有人不斷亂試密碼企圖偷取,所以他三不五時就會收到「密碼重置」的警告信函。不過 Naoki Hiroshima 身為科技人,懂得自保,一直安然無恙,直到 1/20 中午,他收到 Paypal 發送的簡訊,就此噩夢上身。 Paypal 的簡訊要求他輸入一次性驗證碼,「大概又是誰想偷我的 Paypal 帳號了吧」,Naoki Hiroshima 不予理會。但是當天稍晚,他莫名其妙收到他的私人域名主機服務商 GoDaddy 的「帳號變更確認信件」,但他根本沒有動過。他試圖登入卻失敗,打電話向 GoDaddy 解釋情況,對方要他出示註冊時的信用卡末六碼,結果不符。 大部份網站都以電子信箱作為認證方式,一旦攻擊者長驅直入你的主要信箱,就等於拿下你在其它網站的身份。而顯然,這名攻擊者佔領了 Naoki Hireshima 的域名,也就開始能夠控制他的電子信箱。 Naoki Hiroshima 的 GoDaddy 帳號內容已被徹底變更,他也很快瞭悟,攻擊者的目標,就是他珍貴的 Twitter 帳號。不知為何,有個陌生人透過 Facebook 傳訊要他更改 Twitter 的電子信箱資料,他照做了。雖然攻擊者失去了直接以電子信箱竊進 @N 的門路,但他卻接管了 Naoki Hiroshima 完整的 GoDaddy 帳戶,握有恫嚇 Naoki Hireshima 的籌碼。 攻擊者以 GoDaddy 域名底下的信箱入侵 Naoki Hiroshima 的 Facebook,並堂而皇之寫信威脅: 我也想通知你,你的 GoDaddy 域名已經屬於我了。 想要回去的話,拿你的 Twitter 來換。 Naoki Hiroshima 憶及 Wired 記者 Mat Honan 的教訓殷鑑不遠。他因 iCloud 帳號被竊,短短一小時內他的 Google、Twitter 帳戶全被入侵,更糟的是他的 Apple ID 也被盜走,駭客利用 Apple ID 將他的 iPhone、iPad、Macbook 等裝置上的資料從遠端清除得一乾二淨。他長年經營的網路身份因而毀於一旦2。 簡直災難。所以 Naoki Hiroshima 屈服了,他給了駭客 @N 的登入資料,用以換回自己的域名。 夢魘初醒,這一切到底是怎麼發生的?這名駭客不知目的是為展現自己的「社交工程」實力,嘲笑大企業的資安漏洞而以 Naoki Hiroshima 為犧牲品,還是真的那麼「貼心」,自動告訴 Naoki Hiroshima 他運用的手段以及與大企業周旋的來龍去脈。 出乎意料的,就兩通電話這麼簡單。 雖然 Naoki Hiroshima 夠聰明,不去亂輸 Paypal 的驗證碼,但 Paypal 的客服,可就沒那麼機警了。「駭客」假扮 Paypal 員工,打了通電話給 Paypal,運用了些「工程策略」,要到 Naoki Hiroshima 的信用卡末四碼。接著打給 GoDaddy 告訴他們自己的信用卡掉了,但他只記得末四碼。GoDaddy 居然信了,並要他在「00-09」之間「猜」出前兩碼,而且讓他試到對為止,儘管這名駭客大概深諳信用卡號碼的排序邏輯,一次就中。 苦主 Naoki Hiroshima 啞口無言。平白損失 5 萬美金的社群帳號,他無法判斷,Paypal 直接在電話裡透露客戶的信用卡末四碼、還是 GoDaddy 接受了駭客的說辭,哪個比較扯? Naoki Hiroshima 不掩怒氣地提醒大家: 腦殘的公司可能會把你的個人資訊洩漏給錯誤的人,有些公司依然採用鬆散的方式作為身份驗證,比如信用卡的末幾碼。 他們輕率的態度很有可能摧毀你的數位生活,所以別再把信用卡資訊給這類公司。我剛刪掉了我的資料,也很快會拒用 GoDaddy 和 PayPal。 現在 Naoki Hiroshima 已註冊了另一個帳號 @N_is_stolen,Twitter 官方對此事件僅表示尚在調查,不予置評。Paypal 則在 Twitter 上聲明表示公司未曾洩漏任何信用卡號碼。 而目前看來,Naoki Hiroshima 在自己的「新家」表示,駭客似乎刪掉了剛取得的 @N 帳號,但 Twitter 似乎也無視他的遭遇,沒打算歸還,反而有第三名使用者捷足先登取得這個黃金帳號。他公開撰文寫下這段過程之後,馬上傳遍科技圈,隨著事情進展,宛如實境節目令人目不轉睛「期待」任何最新進展。當然最最重要的是,他的揭露無疑再度暴露社交工程的危險性有多難以抵禦。 |