1. 首頁 > 科技 > >

黑客|黑客偽造“政府傳票”竊取科技巨頭敏感數據,蘋果、臉書等均受影響( 二 )

蘋果fbi網絡安全黑客警察


“有政府電子郵件系統出售 , 可用來向蘋果、優步、Instagram等公司發送(虛假)傳票郵件 , ”廣告還提醒潛在“客戶” , “此舉非法 , 如果不使用VPN可能會遭到追查 。 ”

安全博客KrebsOnSecurity近日對專門非法曝光他人信息的Doxbin網站老板、網名KT的知名黑客進行了連線采訪 。 后者認為 , “緊急數據申請”已越來越成為黑客們追蹤、侵入、騷擾以及公開羞辱他人的常用手段 。 他指出 , 虛假的“緊急數據申請”通常會附帶有“某人生命正處于危險中”之類的緊急情況證明 , 不由得收到申請的科技公司不相信 。
“暴力威脅再加上此類證明是很容易讓人信服的 , ”他說 。
KT舉例稱 , 黑客今年年初曾瞄準了一名年僅18歲的青年人 , 希望從社交網站Discord處獲得他的個人信息 。 Discord網站于是收到了一份“緊急數據申請” , 要求提供與目標用戶電話號碼相關聯的用戶賬號及其瀏覽記錄 。 網站毫不猶豫地予以配合 。
“Discord只用了30分鐘至60分鐘就對‘緊急數據申請’做出回應并提供了相關數據 , ”KT說 。
Discord網站在接受采訪時辯解稱 , 當時那份“緊急數據申請”確實來自執法部門網站 , 但他們后來才得知該網站已被黑客入侵 。 “我們確信網站收到的申請來自執法部門使用的域名系統 , 因此根據規定予以配合 , ” Discord網站在局面聲明中說 。 “按照規定 , 我們必須驗證此類申請的出處是否真實有效 。 我們這樣做了 , 而且確認發出申請的執法部門賬號是合規的 。 只是后來才知道該賬號已被惡意攻擊者利用 。 隨后我們對此事件發起調查并向執法部門做了通報 。 ”
KT認為 , 虛假的“緊急數據申請”越來越難以防范 , 重要的原因之一是這些申請并非一定非得從真正的執法機構內部發出 。 專門從事虛假“緊急數據申請”發送服務的黑客一般會先侵入警察部門的網站 , 劫持其郵件系統并在服務器上留下可以永久進入的“后門” , 然后在被劫持的系統內創建新賬號供自己使用 。 “這樣他們就可以在任意地方登陸警用郵件系統 , 向目標公司發出虛假‘緊急數據申請’了 。 ”另外 , 黑客還可以利用獲取的警用電子郵件系統密碼進行虛假“緊急數據申請”發送 。 KT說 , 黑客們首先會識別并進入執法部門人員使用的電子郵件地址 , 然后輸入已經竊取的密碼以蒙混過關 。
他還說 , 盡管目前政府部門或機構都很重視網絡安全問題 , 但漏洞依然存在 。 “現在已幾乎不可能在政府網站內留下‘后門’ , 但有人確實仍然具備這種能力 , ”他說 。 “政府部門現在大多使用微軟的Outlook系統 。 該系統通常內嵌了多因素身份驗證 , 很難突破 。 但并非所有部門都使用Outlook , 也并非所有Outlook系統都內嵌了多因素身份驗證 。 ”
防范虛假“傳票”攻擊的努力仍在進行中
加利福尼亞大學伯克利分校網絡安全專家尼古拉斯·韋弗(Nicholas Weaver)認為 , 清除虛假“緊急數據申請”的難題之一 , 是沒有一個最基本的網上身份驗證系統 。
“我所知道的解決之道 , 是讓聯邦調查局成為各州、各地方執法部門的唯一身份標識提供者 , ”韋弗說 。 “但這并不一定能解決問題 。 因為聯邦調查局也無法對某些緊急申請是否來自被入侵的警用系統進行實時調查 。 ”
如果聽到韋弗的建議 , 聯邦調查局可能也會苦笑著搖頭——事實上 , 他們連自己的網站地址安全都保證不了 。 KrebsOnSecurity 曝出的一則新聞顯示 , 黑客曾于2021年11月利用聯邦調查局 “執法企業門戶”(LEEP)平臺上存在的漏洞 , 向數千個州和地方執法機構發送了題為《緊急:系統中存在威脅行動者》(Urgent: Threat actor in systems)的虛假郵件 。 這些郵件的發送地址無一例外都顯示為真正的fbi.gov 。

相關經驗推薦