Twitter失陷 社交工程攻擊防不勝防?
美國社交網站Twitter早前發出聲明,透露在7月中有多位名人及公司的賬戶被黑客入侵,認為是次黑客攻擊事件是針對個別Twitter員工進行社交工程(Social Engineering)攻擊,取得該等員工的權限,從而重置密碼、登入賬戶,並且送出詐騙帖子。Twitter正在調查事件,並繼續限制發出帖文和重設密碼,部分賬戶的功能亦受限制,稍後將會再公布如何善後。
是次被黑客入侵的賬戶多達130個,當中很多是有大量followers的名人或國際巨企,包括有蘋果公司、微軟創辦人蓋茨(Bill Gates)、美國民主黨總統候選人拜登、前美國總統奧巴馬、Tesla行政總裁馬斯克(Elon Musk),以及著名投資者畢非德(Warren Buffett)等等。
他們的Twitter賬戶都被貼上推廣比特幣的廣告,聲稱需要回饋社會,希望網民依據連結,將比特幣滙到指定網址,然後便會得到雙倍比特幣回報。這些帖文其後已被官方移除。
所謂「社交工程攻擊」,就是利用人性弱點,應用簡單的溝通和欺騙伎倆,以獲取賬戶、密碼、身份證號碼或其他敏感資料,來突破保安系統的資訊安全防護,進行非法的存取或破壞行為。
今次攻擊者就成功控制了部分Twitter員工資料,並使用他們的公司賬戶登入Twitter內部系統,包括通過Twitter的雙重認證系統(Two Factors Authentication),再利用Twitter公司內部的系統工具,登入該130個名人的賬戶。
蘋果曾低調補iCloud漏洞
其實,今次已經不是第一次有國際科技公司,因為私隱洩漏而導致名人的資料外洩,上一次較大規模的名人資料外洩事件,想必數到2014年,當時有一批荷里活女星,包括 Jennifer Lawrence、Kate Upton等,她們把裸照傳到蘋果的iCloud,卻被黑客入侵並放上貼圖網站,造成了美國史上最大宗「艷照門」。
跟這次Twitter不同,蘋果當年並沒有承認是自身系統出現問題,並反指黑客是利用正確的賬戶及密碼進入iCloud。不過,有保安專家發現,iCloud重設密碼的時候,要求用戶回答一些個人資料問題,而這些名人所設置的問題,大部分答案都可以在網上搜尋得到,例如小時候在哪裏居住、中學的學校名稱、小時候寵物的名稱等等,事後蘋果亦悄悄地修改了這個漏洞。
蘋果與美國聯邦調查局(FBI)聯手花了4年時間調查,最終成功於2019年拘捕兩名黑客,他們在2012年至2014年期間,利用網絡釣魚郵件,成功竊取了超過100個名人和其親人的賬戶密碼,盜取iCloud裏面的相片及其他資料。
六招提高警覺減傷害
社交工程攻擊是利用人性的弱點,來騙取網絡用戶的敏感資料,讓人覺得防不勝防。若能時刻提高警覺,例如經常更改密碼、開啟兩步驗證、不隨便向陌生人提供個人資料、勿開啟來歷不明的短訊或者電子郵件及附件、不隨便登入未經確認的網站、拒下載非法軟件或影片等等。
其實,只要大家做足以上保安措施,而且加強防範意識,就可以減少社交工程攻擊造成的傷害,加強保障個人私隱,令自己減少機會成為類似這次Twitter事件的受害者。
方保僑_香港互動市務商會會長
電子郵件安全與社交工程防範 在 電子郵件安全與社交工程防範《解答》 - 永無止盡的學習路 的相關結果
電子郵件安全與社交工程防範 《解答》 ... Q, 引人注目的電子郵件標題可能是隱藏惡意連結的陷阱,因此要小心謹慎的確認後再開啟。 ... <看更多>