自稱高中生 黑客打2次電話 入侵中情局長個人電郵

自稱高中生 黑客打2次電話 入侵中情局長個人電郵
Photo Credit: Reuters/達志影像

我們想讓你知道的是

美國中情局局長的個人電郵被黑客入侵,自稱是高中生的黑客,只需要打2次電話,便能夠獲得所需資訊登入電郵。這次攻擊揭示了嚴重的安全漏洞,未必來自電腦軟件,而是公司職員的疏忽。

一名自稱是高中生的黑客,早前登入了中情局局長布倫南(John Brennan)的個人電郵。由於布倫南把一些工作上的電郵轉寄到其個人郵箱,該黑客及其同伴獲得了不少機密文件,包括本年6月美國聯邦人事管理辦公室被盜取的SF86文件——涉及達400萬人用作背景審查用的個人資料。

這名黑客向媒體Wired披露,他們不靠高超的電腦技術,只需要打2次電話便獲得所需資訊及權限,成功登入布倫南在互聯網服務供應商美國在線公司(AOL)的個人電郵帳戶。

第1次致電︰偽裝成技術人員

首先,黑客查了布倫南的手機號碼,發現他是電訊公司威訊(Verizon)的客戶,於是其中一人裝成威訊的技術人員致電回威訊。黑客對該公司員工佯稱將有顧客預約好回電,但他們因為軟件故障無法存取客戶資料庫,希望獲得所需資料。

在提供偽造的職員編號後,黑客便從威訊職員手上獲得一名顧客——自然是布倫南——的個人資料,包括其銀行戶口號碼、4位數字密碼、備用手機號碼、AOL電郵地址以及信用卡最後4位數字。

第2次致電︰偽裝成布倫南

接下來他們致電AOL,聲稱無法登入布倫南的帳戶。AOL職員要求黑客回答保安問題,需要其信用卡最後4位數字、名字及電話號碼等。他們已從威訊處取得答案,順利完成程序後,AOL便替他們重設布倫南電郵帳戶的密碼。

10月12日,黑客就這樣成功登入布倫南在AOL的個人電郵帳戶,讀了幾十封電郵,包括一些布倫南從其工作用電郵轉寄的郵件,以及這些電郵的附件檔案。附件中有一些情報人員的名字及社會保障號碼,也有參議員去信中情局要求該局停止使用酷刑迫供。

第3次致電︰告訴布倫南帳戶被盜

黑客又表示,在3天之內,布倫南重設了3次密碼,但每次獲得存取權後,都被他們奪走。最終他們使用VoIP網絡電話致電布倫南,告知其電郵被入侵。

據黑客憶述,以下是當時的對話內容。

黑客︰我們是CWA(Cracka with attitude,有態度的黑客)
布倫南︰你們想要甚麼?
黑客︰2萬億美元……哈哈,只是開玩笑。
布倫南︰你們到底想要多少?
黑客︰我們只想巴勒斯坦獲得自由,以及你們停止濫殺無辜。

雖然有官員表示,布倫南的個人電郵不含機密資料,但黑客在其Twitter上貼出多張文件截圖反駁。黑客亦聲稱登入了國土安全部部長莊臣(Jeh Johnson)的電郵,並貼出其電子單據。

社交工程攻擊

這3名黑客使用的攻擊技巧,稱為「社交工程」(social-engineering)。他們並非透過電腦技術,而是從用戶、公司職員等目標口中套取資料,再獲得存取權。黑客充份利用了心理技巧以及目標疏於防範,使得再強的密碼及保安技術都失效,這就是所謂「在鍵盤與椅子之間的問題」——人為錯誤。

社交工程攻擊並非新鮮事,3年前,作家Mat Honan曾經寫下他被盜取所有網上帳戶的經歷。攻擊他的黑客利用蘋果及亞馬遜的漏洞,同樣以社交工程獲得其Google、Twiiter及AppliID帳戶,刪除了大量資料,包括遙距刪除其iPhone、iPad及Macbook上的資料——僅僅為了其Twiiter用戶名稱@mat。

在網絡帳戶變得極度重要的年代,政府官員、掌握機密資料者甚至普通人(如Mat Honan),都應該學會用各種方式——例如兩步驟驗證——確保帳戶安全。各大公司——特別是銀行、電訊公司及電郵供應商——更必須給予員工充足訓練,降低社交工程攻擊的風險,保障其用戶財產及私隱。

20151021更新
補回對AOL的介紹,感謝讀者HKO2006提供意見。


猜你喜歡

Tags: