一个叫Phobia的进入了他的账号, 发表了一系列种族主义言论。 黑客把他的,的数据, 连同在iCloud上的备份统统删掉了。 而Phobia这么做, 只是为了抗议美国拘捕了著名的“匿名”组织黑客Luiz。
世界进入时代的标志之一就是无所不在的iPhone、和上的iCloud服务。如今,无论你是否情愿,个人隐私数据正在一步步被转移到云端,然后面临被黑客一锅端掉的危险。这不是危言耸听,亚马逊和iCloud等公有云的安全性到底有多差?个人如何在云计算时代保护隐私数据?也许连线杂志资深记者Mat Honan的遭遇可以给你一点启示。
连线杂志的高级记者Mat Honan最近出名了。 他的Twitter账号, 苹果账号, 亚马逊账号在几个月前被“匿名”组织的黑客攻破了。 一个叫Phobia的黑客进入了他的Twitter账号, 发表了一系列种族主义言论。 黑客把他的iPhone, MacBook的数据, 连同在iCloud上的备份统统删掉了。 而Phobia这么做, 只是为了抗议美国拘捕了著名的“匿名”组织黑客Luiz。
无需暴力破解,黑客自揭社交工程手法
Mat Honan又注册了一个Twitter账号, 告诉大家他的账号密码可能被黑客用暴力破解了。 也有人怀疑是他被盗号盗号了。 这时, Phobia在Twitter上 @了他。 告诉他根本没有用暴力破解的方式获得密码。 出于记者的好奇, Honan跟Phobia进行了交流, 黑客告诉了他是如何通过社交工程的方式, 通过亚马逊, 苹果的技术支持进入Honan的一系列账号的。
Phobia选择Honan实属偶然。 这个倒霉的家伙有个好的Twitter账号, 只有3位字母的@mat. Phobia说他跟Honan无冤无仇, 就是喜欢这个账号而已。
确定了目标之后, 黑客做了一些背景研究。 Honan的Twitter账号和他的个人网页相关联, 从他的个人网页上, Phobia找了了他的Gmail账号。 然后他去了的重置密码页面。 由于Honan没有启用Gmail的双因素身份认证, 黑客可以看到Gmail用来设置密码找回的备用邮箱。 尽管Google把一些字母隐掉了, 但是从m****n@me.com上, 黑客很容易根据Mat Honan的名字, 猜出邮件名。 此外, 根据苹果 的me.com的后缀, 黑客知道这个账号很可能关联了一个Apple ID。
在Phobia给Honan的邮件里, Phobia说道:
“老实说, 你可以进入与任何邮件关联的苹果账号”。
Honan用了Phobia所说的办法, 发现确实不难。
苹果的账号重置只需要知道邮件, 账单地址以及信用卡的后四位。 Phobia已经有了邮件地址, 剩下的就是账单地址和信用卡后四位了。
黑客先从简单的来, 他上网查了Honan个人网站的信息, 从那里很容易就查到了Honan的账单地址。
信用卡后四位稍微麻烦一些, 他们首先用了一个打电话给亚马逊的客服, 要求在现在的账号下加一张信用卡。 亚马逊客服需要知道的是姓名, 邮件, 账单地址和需要加的信用卡号当然是假的, 是根据信用卡号生成的算法生成的一个假的信用卡号。 亚马逊的系统可以允许这样的号码,因为它在这个非交易阶段, 不会去跟信用卡公司核对。 紧接着, 他们又打电话给亚马逊的客服说把密码弄丢了。 他们给亚马逊客服提供了用户, 账单地址以及刚才新加的信用卡号, 亚马逊允许关联一个新的邮件地址。 然后黑客去亚马逊的重置密码页面。 把重置密码发到这个新的邮件地址去。 从这封重置密码的邮件里, 亚马逊列出了所有与该账号关联的信用卡的号码(当然只有后4位)。
但是, 就是这亚马逊认为不重要的信用卡后4位, 是苹果账号身份认证的一个重要信息。 这样, Phobia就有了Honan的邮件, 账单地址和信用卡后四位。 他打电话给苹果客服, 要求重置密码。 然后, Honan的一切苹果账号就都被攻破了。 而且, 可怜的Honan还是用了AppleCare的Find My iPhone 和 Find My Mac, 结果, 他所有的资料都被删了, 包括他女儿的所有照片。
Honan现在想起来还觉得自己还算幸运。 Phobia只是想让Honan难堪而已。 Honan说:
他们完全可以通过我的邮件进入我的网上银行。 或者利用我的邮件, 通过社交工程的方法去欺骗别人。 Honan是连线杂志的资深记者, 他的联系人里有很多硅谷的大佬。 要是这些人也被黑了那就糗大了。
不过, 后来, Phobia在邮件里还是对把Honan女儿的照片全部删掉表示了深深的歉意。 Honan说他甚至都没有对Phobia的行为感到生气。 他只是气自己作为一个资深IT记者, 竟然如此没有防范意识。 让一个单点失效导致所有数据丢失。
对这类密码重置的社交工程攻击, 需要网站和用户共同来防御, 下面是几点建议:
1) 网站在身份验证的时候, 采用背景验证的安全方式。 比如“以下5个地址哪个与你的名字相关”, 类似RSA身份验证这样的服务可以梳理掉那些很容易从网上找到的关于某用户的信息。 从而使社交工程攻击者的攻击难度加大。
2) 用户自己创造秘密问题, 几乎所有的网站都会千篇一律的问“你的宠物的名字”, “你的小学老师的名字”这样的秘密验证问题。 网站可以在用户注册的时候, 让用户自己去创造一个秘密问题。 这样可以减少被社交工程攻击的风险。
3) 对重置密码的请求保持高度警觉。 如果有重置密码的请求, 网站可以对用户的所有设备进行提示, 这样可以避免像Honan那样被人改了密码还蒙在鼓里
4) 对用户来说, 尽量在不同网站使用不同的信用卡。 使不同的帐户关联不同的信用卡号。
5) 对采用Gmail启用双重因素身份认证。