立場新聞 Stand News

【防不勝防】惡意求職電郵與 Twitter 被黑事件

2020/7/20 — 16:39

Twitter 本周爆出其史上最嚴重保安事件,導致蓋茨、奧巴馬、拜登、Elon Musk、Jeff Bezos、巴菲特的戶口被盜用發布騙財訊息,令人驚覺科網巨頭也有失守的一天。對我來說,網上安全是絕不能掉以輕心、必須時刻警惕的課題,切忌自信心爆棚。最近公司人事部便收到一份求職電郵,其附上的履歷竟然是想盜取資料的惡意程式,幸好及時察覺,避免中了黑客的圈套。

該份求職電郵,表明想申請網上保安分析員的崗位,並附上一個聲稱是履歷的壓縮檔案,用病毒程式掃描該檔案,偵測不到任何問題,但我們嘗試在一個模擬電腦環境解壓縮檔案,發現其功能是在執行時,盜取目標電腦的資料,傳送回黑客的伺服器。收電郵者不虞有詐,一旦解壓附件並開啟檔案,執行檔便會悄悄啟動。(若想了解具體攻擊途徑、更多技術細節的朋友,可參閱這個連結。)

作者提供

作者提供

廣告

說這個例子,是想說明網絡攻擊的手法是如何多樣化,令人防不勝防,任何一個環節失守便中門大開。最近轟動全球的Twitter被hack事件便是一例。

廣告

根據Twitter官方的說法,是次被攻擊的帳戶有130個,黑客並取得當中45個帳戶的控制權,可修改密碼及發出帖文,並下載了8個帳戶的用家資料及活動數據,還打算出售若干登入名稱(username)。

Twitter解釋,事件是有人操縱其少數員工,利用其權限登入Twitter的內部系統,突破其雙重認證的保護,取得只有內部支援隊伍才能使用的工具。

不過,根據外媒的說法,事前是有Twitter員工在網上討論區吹噓可以操控帳戶,更有指該員工是從公司內部通訊的Slack頻道中發現了取得控制帳戶的權限,而擁有該權限的員工多達數百人。

雖然事件尚在調查之中,但似乎都指向「裡應外合」的版本,「日防夜防,家賊難防」,這已不是技術水平高低的問題,而是公司內部控制及管理的問題,也是網絡保安令人相當頭痛的一環。

《金融時報》引述IBM一名行政人員透露,與新冠肺炎相關的網上騙案,隨著美國疫情不斷惡化而狂升60倍。這段時期亦是人最倚賴互聯網的時候,不論通訊、工作、學習、娛樂及應付家居大小雜務,均離不開網上,而家居的網絡保安又未必如公司般完備,為黑客製造了不少提款的「商機」。

疫情反彈,最重要的當然是「人冇事」,但最好加多一句「網冇事」。

發表意見