在演示如何“搶銀行”前,Jayson E.Street 是非常輕鬆的,正甩着兩條小腿坐在演講台上隨音樂在搖擺。
Jayson E.Street 是黑客盛會 DEFCON 組織的全球協調人,在 SyScan 360 對他的介紹(想必也是他自己寫的)中,寫道“他是一個披薩愛好者,曾經把披薩從北京帶到巴西分享,他不希望人們對他的認識僅僅如此,如果注意的話會發現他在2006年被《時代週刊》評選為年度人物”,對,雷鋒網編輯也曾獲得這個獎項,知道這個老梗的人你可以笑了。
不過,告訴你如何搶銀行不是一個笑話,Jayson 今天要出奇制勝,成功奪得你的注意力。
知己知彼,百戰不殆。Jayson 也懂得這個套路,為了防範和偵測這些攻擊,他先要演示攻擊者如何看待“你”的網站和員工,利用他們來攻擊“你”。這個小夥可是在美國銀行從事防禦工作15年,在6年多時間內在多個項目中扮演攻擊者,是居家旅遊搶銀行必備。
而且,Jayson 的“搶銀行”還是被付費的——很多銀行的 CEO 付費找他測試銀行系統是否安全,是否會被入侵。
攻擊電信公司
在聊聊 Jayson 是如何搶銀行前,先來看看他是如何攻擊電信公司,因為兩個方法路數一致,僅略有差異。Jayson説,
Jayson 採取的策略是鎖定這家公司的一個人,於是他先登錄電信公司的網站,找到電信公司 CEO 的介紹頁面,根據頁面上 CEO 的照片,找到了他的推特,然後順藤摸瓜發現了其他相關工作人員帳號。
[該 CEO 的展示頁面]
[該 CEO 的社交網站頁面]
知道了這些後,他可以假裝成任何人來和電信公司的員工進行聯繫。
在社交網站上,Jayson 找到很多資料和可能的目標。他發現,這個 CEO 中有一個聯繫人蔘加了 Mobile 360 的會議,他找到了會議網站,找到了同一會議的其中一名參會者(演講者)的詳細信息,以他的名義進行釣魚郵件。
這封釣魚郵件是一封商務合作郵件。
這封郵件的狡猾之處在於,提到的是從移動設備發送,Jayson 説,人們心理會有預期:移動設備打開的網頁(即實際上是釣魚網站)看上去會和實際官網不一樣,於是會放心打開,就算比對也不會懷疑。
放心地打開後,出現這個頁面,就説明釣魚成功了。
Jayson 帶着小驕傲説,並沒有任何複雜的技術,但卻完成了這次攻擊。
一次未完成的銀行搶劫
看上去是社會工程學的方法,事實上,在針對銀行開展襲擊,即搶銀行時,又是另一個不同的小故事。
比較憂傷的是,Jayson 稱,這個故事所有的信息蒐集,在乘飛機的過程中就完成了,對,你不要嫉妒,人家乘飛機時可以上網。
不過,攻擊者才不看這些,攻擊者關注的是 IP 地址,找到美國主機的位置,包括是否有第三方主機服務公司來託管網站,還有其他信息,如網絡、FTR、ASN,如果所有這一切都在第三方託管中,只要找到第三方託管服務器的漏洞, 不僅是這個網站,託管在上面的網站就可以一網打盡。
通過蒐集信息,Jayson 在社交網站上找到這家銀行的工作人員,可以詳細看到各種信息,在哪裏讀書,手機號碼、家庭地址,大家都看得到,大部分人願意在社交網站上分享他們的信息,而“受害者”並不知道黑客在“調查”她。
Jayson 強調,重要的一點是,在美國搶劫銀行前可能會先劫持銀行的工作人員,拿到她的權限再來搶銀行,所以獲得這些有權限的銀行工作人員特別危險,尤其在社交網站上把家庭地理位置和房屋照片都曬出來的這種。
他找到了目標對象——銀行工作人員最近添加的參加銀行開展的打保齡球活動的朋友,然後從朋友的角度發了一封釣魚郵件給這個銀行工作人員。
為什麼這麼做,Jayson 解釋:
這封郵件的內容是什麼,為什麼被攻擊者會心甘情願地點擊?
來看一下郵件內容:
在這裏,最近當選美國總統的川普要躺槍了。在輕鬆友好的交流氛圍中,Jayson 對雷鋒網表示,他不支持川普,因為這個“更糟糕”。
於是,他在釣魚郵件中,其實是邀請被攻擊者參加抗議活動——政治是我們都關心的事!所以,十有八九要中招!
不過,Jayson 多次強調,這次演示的攻擊並沒有真實發生,因為郵件他沒有發送出去。只是為了給大家展示:看,我能這麼做,而且這麼簡單!
摸清攻擊者的老底
還有一個重要問題是,攻擊者為什麼能這麼迅速地收集信息?Jayson 把攻擊者的老底摸清了。
Jayson 先給大家打了預防針,意思是:不是教你去當攻擊者!看看就好,預防第一。
先上技術網站找攻擊工具,然後找一下攻擊目標,比如,攝像頭,防火牆薄弱的地方。而對於銀行業,則可以在暗網等找到銀行被販賣的數據。
所以,下面雷鋒網展示一下 Jayson “推薦”的攻擊者必看信息。
1.攻擊者常用工具
2.在哪裏找被泄密的數據
3.找到網站架構的薄弱地帶
知己知彼,反攻
知道攻擊者將會如何開展行動後,Jayson 對企業和個人進行安全防護有以下重點建議。
1.至少每週要監測能搜到的“銀行”的信息。
2.建議網站進行潛艇式構建——這個地方有問題,別的地方可以被保護,一個地方被攻擊,其他地方還能工作,所以需要分段網絡架構!
3.在網站上的溝通可以進行切割,不是所有人都需要有外部溝通的權限,有些溝通只要在局域網溝通。
4.利用各種工具檢視現有網站受到攻擊的可能。
5.關於網站上“你是誰”的代碼名稱是聯繫信息,把這個名字設置成非真實姓名,但貼上真實電話分機號,聯繫電話、郵箱分別設置不同名稱。
6.為 1X1 單像素照片添加提醒鏈接,一般人不會點開這種圖片看,只有攻擊者才會利用這種圖片來尋找突破口。
7.還應為用户代理字符串設置提醒。
8.如果可以,控制可以看到你的網站國家和地區,比如,一個地方性銀行需要全世界的人來點擊嗎?預防攻擊。
9.在你的職位列表上添加觸發器/錯誤線索,違規操作立馬就能知道。
10.不使用公司設備進行危險社交操作,如掃二維碼。
11.對員工進行安全意識培訓。
最後,需要再次聲明的是, Jayson 演示的對企業、銀行開展的攻擊都是企業授權,讀者盆友不要非法嘗試,伸手必被捉。“搶劫者” Jayson 還告訴雷鋒網(公眾號:雷鋒網),做了這麼多看似有破壞性的事情,事實上他一直在遵循自己“守衞者”的準則,他還有什麼故事?敬請期待雷鋒網對 Jayson 的人物專訪。
雷鋒網原創文章,未經授權禁止轉載。詳情見轉載須知。
資料來源:雷鋒網
作者/編輯:李勤
Jayson E.Street 是黑客盛會 DEFCON 組織的全球協調人,在 SyScan 360 對他的介紹(想必也是他自己寫的)中,寫道“他是一個披薩愛好者,曾經把披薩從北京帶到巴西分享,他不希望人們對他的認識僅僅如此,如果注意的話會發現他在2006年被《時代週刊》評選為年度人物”,對,雷鋒網編輯也曾獲得這個獎項,知道這個老梗的人你可以笑了。
不過,告訴你如何搶銀行不是一個笑話,Jayson 今天要出奇制勝,成功奪得你的注意力。
知己知彼,百戰不殆。Jayson 也懂得這個套路,為了防範和偵測這些攻擊,他先要演示攻擊者如何看待“你”的網站和員工,利用他們來攻擊“你”。這個小夥可是在美國銀行從事防禦工作15年,在6年多時間內在多個項目中扮演攻擊者,是居家旅遊搶銀行必備。
而且,Jayson 的“搶銀行”還是被付費的——很多銀行的 CEO 付費找他測試銀行系統是否安全,是否會被入侵。
攻擊電信公司
在聊聊 Jayson 是如何搶銀行前,先來看看他是如何攻擊電信公司,因為兩個方法路數一致,僅略有差異。Jayson説,
引用我曾被電信公司僱傭,CEO 希望我進行釣魚攻擊,要求是隻能利用一個介入點,任何人點擊任何鏈接都受到攻擊。
Jayson 採取的策略是鎖定這家公司的一個人,於是他先登錄電信公司的網站,找到電信公司 CEO 的介紹頁面,根據頁面上 CEO 的照片,找到了他的推特,然後順藤摸瓜發現了其他相關工作人員帳號。
[該 CEO 的展示頁面]
[該 CEO 的社交網站頁面]
知道了這些後,他可以假裝成任何人來和電信公司的員工進行聯繫。
在社交網站上,Jayson 找到很多資料和可能的目標。他發現,這個 CEO 中有一個聯繫人蔘加了 Mobile 360 的會議,他找到了會議網站,找到了同一會議的其中一名參會者(演講者)的詳細信息,以他的名義進行釣魚郵件。
這封釣魚郵件是一封商務合作郵件。
這封郵件的狡猾之處在於,提到的是從移動設備發送,Jayson 説,人們心理會有預期:移動設備打開的網頁(即實際上是釣魚網站)看上去會和實際官網不一樣,於是會放心打開,就算比對也不會懷疑。
放心地打開後,出現這個頁面,就説明釣魚成功了。
引用到這一步,我只花了三十分鐘。
Jayson 帶着小驕傲説,並沒有任何複雜的技術,但卻完成了這次攻擊。
一次未完成的銀行搶劫
看上去是社會工程學的方法,事實上,在針對銀行開展襲擊,即搶銀行時,又是另一個不同的小故事。
比較憂傷的是,Jayson 稱,這個故事所有的信息蒐集,在乘飛機的過程中就完成了,對,你不要嫉妒,人家乘飛機時可以上網。
引用曾經有一個銀行想讓我去介紹如何進行對銀行的攻擊,讓我設計一個攻擊路線圖。我找到了某地最大的一家銀行官網,登錄攻擊目標網站時,普通人首先看到的是:嗯,這個藍色頁面的網站很好看嘛。
不過,攻擊者才不看這些,攻擊者關注的是 IP 地址,找到美國主機的位置,包括是否有第三方主機服務公司來託管網站,還有其他信息,如網絡、FTR、ASN,如果所有這一切都在第三方託管中,只要找到第三方託管服務器的漏洞, 不僅是這個網站,託管在上面的網站就可以一網打盡。
通過蒐集信息,Jayson 在社交網站上找到這家銀行的工作人員,可以詳細看到各種信息,在哪裏讀書,手機號碼、家庭地址,大家都看得到,大部分人願意在社交網站上分享他們的信息,而“受害者”並不知道黑客在“調查”她。
Jayson 強調,重要的一點是,在美國搶劫銀行前可能會先劫持銀行的工作人員,拿到她的權限再來搶銀行,所以獲得這些有權限的銀行工作人員特別危險,尤其在社交網站上把家庭地理位置和房屋照片都曬出來的這種。
引用他們還會被綁架,甚至作為人質,直到第二天早上這個銀行上班之後,挾持他們打開保險櫃,這是美國搶劫銀行會出現的事。
引用我先從她的朋友下手,尤其是她的社交網站上新加的盆友。
他找到了目標對象——銀行工作人員最近添加的參加銀行開展的打保齡球活動的朋友,然後從朋友的角度發了一封釣魚郵件給這個銀行工作人員。
為什麼這麼做,Jayson 解釋:
引用因為新加的朋友溝通還不多,還不熟悉,甚至之間還會提一些問題,她們還有一些共同點,比如,給孩子打保齡球的公益活動,仿製被攻擊者朋友的公司郵箱地址,就可以發郵件了。
這封郵件的內容是什麼,為什麼被攻擊者會心甘情願地點擊?
來看一下郵件內容:
在這裏,最近當選美國總統的川普要躺槍了。在輕鬆友好的交流氛圍中,Jayson 對雷鋒網表示,他不支持川普,因為這個“更糟糕”。
於是,他在釣魚郵件中,其實是邀請被攻擊者參加抗議活動——政治是我們都關心的事!所以,十有八九要中招!
不過,Jayson 多次強調,這次演示的攻擊並沒有真實發生,因為郵件他沒有發送出去。只是為了給大家展示:看,我能這麼做,而且這麼簡單!
摸清攻擊者的老底
還有一個重要問題是,攻擊者為什麼能這麼迅速地收集信息?Jayson 把攻擊者的老底摸清了。
引用我在這裏給大家展示從攻擊者角度怎麼看,我不想給你們傳播不好的東西,讓你們恐懼,我們希望給大家普及這些只是之後,你們提高防範意識。
Jayson 先給大家打了預防針,意思是:不是教你去當攻擊者!看看就好,預防第一。
先上技術網站找攻擊工具,然後找一下攻擊目標,比如,攝像頭,防火牆薄弱的地方。而對於銀行業,則可以在暗網等找到銀行被販賣的數據。
所以,下面雷鋒網展示一下 Jayson “推薦”的攻擊者必看信息。
1.攻擊者常用工具
2.在哪裏找被泄密的數據
3.找到網站架構的薄弱地帶
知己知彼,反攻
知道攻擊者將會如何開展行動後,Jayson 對企業和個人進行安全防護有以下重點建議。
1.至少每週要監測能搜到的“銀行”的信息。
2.建議網站進行潛艇式構建——這個地方有問題,別的地方可以被保護,一個地方被攻擊,其他地方還能工作,所以需要分段網絡架構!
3.在網站上的溝通可以進行切割,不是所有人都需要有外部溝通的權限,有些溝通只要在局域網溝通。
4.利用各種工具檢視現有網站受到攻擊的可能。
5.關於網站上“你是誰”的代碼名稱是聯繫信息,把這個名字設置成非真實姓名,但貼上真實電話分機號,聯繫電話、郵箱分別設置不同名稱。
6.為 1X1 單像素照片添加提醒鏈接,一般人不會點開這種圖片看,只有攻擊者才會利用這種圖片來尋找突破口。
7.還應為用户代理字符串設置提醒。
8.如果可以,控制可以看到你的網站國家和地區,比如,一個地方性銀行需要全世界的人來點擊嗎?預防攻擊。
9.在你的職位列表上添加觸發器/錯誤線索,違規操作立馬就能知道。
10.不使用公司設備進行危險社交操作,如掃二維碼。
11.對員工進行安全意識培訓。
最後,需要再次聲明的是, Jayson 演示的對企業、銀行開展的攻擊都是企業授權,讀者盆友不要非法嘗試,伸手必被捉。“搶劫者” Jayson 還告訴雷鋒網(公眾號:雷鋒網),做了這麼多看似有破壞性的事情,事實上他一直在遵循自己“守衞者”的準則,他還有什麼故事?敬請期待雷鋒網對 Jayson 的人物專訪。
雷鋒網原創文章,未經授權禁止轉載。詳情見轉載須知。
資料來源:雷鋒網
作者/編輯:李勤
請按此登錄後留言。未成為會員? 立即註冊