近日,纽约金融服务管理局(New York )于7月15日发布了一份关于安全事件的调查报告,全面还原了黑客攻击的细节和全过程。没有复杂技术的攻击暴露了平台中令人震惊的安全漏洞。
1. 活动摘要
2020 年 7 月 15 日,一名 17 岁的黑客及其同伙入侵了 () 网络炒股配资网,并控制了数十名网红用户的 帐户。全世界都在关注这场公开的网络攻击:在几个小时内,黑客接管了多位政治家、名人和企业家的推特账户,包括巴拉克·奥巴马、金·卡戴珊·韦斯特、杰夫·贝佐斯和埃隆·马斯克,以及几家受纽约州金融服务管理局监管的加密货币公司,在推特上发布了一个“双倍你的比特币”骗局。面对黑客攻击,似乎无能为力。
就货币价值而言,黑客窃取了价值超过 118,000 美元的比特币。但更重要的是,这起安全事件暴露了全球社交媒体平台的脆弱性—— 拥有超过 3.3 亿月活跃用户和超过 1.86 亿日活跃用户,其中美国用户超过 3600 万(20%)。简而言之,在我们的新闻沟通和传播中发挥着核心作用。超过一半的美国成年人“经常”或“有时”从社交媒体上获取新闻。
是一家市值为 370 亿美元的上市科技公司,可以轻松入侵其网络并访问可以接管任何 用户帐户的内部工具。
需要注意的是,攻击 的黑客并没有采用网络攻击中经常利用的高科技或复杂技术——没有恶意软件、漏洞利用和后门。黑客使用的基本伎俩更类似于传统的诈骗艺术:假装是信息技术部门的人打电话。黑客通过这个简单的技巧获得了非凡的访问权限,凸显了 网络安全的漏洞和潜在的破坏性后果。
黑客攻击的影响远远超出了欺诈本身:社交媒体被用来操纵市场并干预选举,仅使用一个受损的帐户或一组虚假帐户。如果一个危险的“黑客”获得相同的访问权限(有权控制任何用户的帐户),可能会造成更大的伤害。
安全事件表明,我们需要部署强有力的网络安全措施来遏制主要社交媒体平台作为潜在的攻击武器乐配资,但监管机构显然没有为社交媒体带来的新挑战做好准备。
政策制定者担心大型社交媒体公司的反垄断和内容审核问题,网络安全也应该是大型具有系统重要性的社交媒体公司的必备能力。
2. 推特平台
自 2006 年 7 月以来, 一直在运营。作为一个社交网络和微博网站,用户可以通过电子邮件和短信向“关注者”(即已注册接收博客文章的用户)发送“推文”——不超过 280 字(以前为 140 字)的简短博客文章。 用户可以通过网站或移动应用程序关注其他个人、企业、媒体、政府或非营利实体。
负责维护内部帐户管理工具,以管理与 用户帐户相关的各种问题。 向授权员工发放用户名和密码,以便访问内部帐户管理工具。7 月 15 日在 上发布的屏幕截图显示了黑客访问的内部工具。
某些内部工具包含有关所有 用户帐户的非公开信息,包括与帐户、电话号码和用户登录的 协议 (“IP”) 地址关联的电子邮件。应用户的要求,授权的 员工使用内部工具更新电子邮件地址、重置忘记或过期的密码,以及启用或禁用多因素身份验证 (“MFA”) - 这是一个额外的安全层,依赖于自动生成的号码来访问帐户。
员工还使用内部工具禁止或限制某些推文内容或某些用户账号发布推文。此限制可能是为了满足某些国家/地区的当地法律要求,或惩罚违反 规则的用户。
3.还原入侵事件真相
攻击者使用欺诈策略来访问 的网络和内部应用程序。
2020 年 7 月 14 日和 15 日,黑客攻击了 。安全事件分为三个阶段:第一阶段,使用社会工程攻击来访问网络,第二阶段,接管具有理想用户名的帐户并出售对这些帐户的访问权限,以及第三阶段,接管数十个知名帐户,并试图诱骗人们将比特币发送给黑客。
所有这一切都发生在大约 24 小时内。
第 1 阶段:通过社会工程窃取证书
黑客攻击始于 2020 年 7 月 14 日下午。当时,至少有一名黑客打电话给多名 员工,声称自己是 IT 部门的服务人员。黑客声称已经打电话帮助解决的虚拟专用网络(“VPN”)遇到的问题。
自从切换到远程工作以来,VPN 问题在 员工中很常见。随后,黑客试图将该员工引导至一个网络钓鱼网站,该网站看起来与合法的 VPN 网站完全相同,并且域名非常相似。当员工在网络钓鱼网站上输入他们的帐户密码时,黑客会同时将该信息输入到真实的 网站上。此虚假登录会生成 MFA(多因素身份验证)通知,要求员工进行身份验证股票配资在哪,其中一些人会这样做。
在调查过程中,纽约州金融服务部没有发现任何证据表明员工故意协助黑客。相反,黑客使用员工的个人信息来说服他们他们是合法和值得信赖的。一些员工向的内部欺诈监控团队报告了这些电话,但至少有一名员工相信了黑客的谎言。
第一位账户被黑客入侵的 员工无法使用内部工具来接管 用户账户。黑客不得不使用这个最初的受害者帐户浏览 的内部网站并获取有关 信息系统的更多信息。黑客查看了的内部网站,其中包含有关如何访问其他内部应用程序的信息。
7 月 15 日,黑客将目标对准了有权访问内部工具的 员工。其中一些属于负责响应世界各地法律请求的部门,例如法院命令或内容删除请求,以及制定和执行防止滥用在线行为的政策。
第 2 阶段:窃取 老牌账户
在获得接管 用户帐户的能力后,黑客首先将注意力集中在所谓的 族长 (“OG”) 帐户上,这些帐户通常是属于 早期用户的单个单词、字母或数字的组合。作为后续用户梦寐以求的在线信誉标志,任何成功劫持退伍军人帐户的人都可以以数千美元的价格出售它。
2020 年 7 月 15 日凌晨 3 点至 10 点左右,黑客讨论通过在线聊天接管并出售 老用户名以换取比特币, 证实多个账户遭到破坏。
然而,很快,黑客开始使用更多的公开手段来证明他们已经成功渗透到的内部系统。7月15日下午2点前,黑客劫持了更多的推特老牌账号,并将部分账号内部工具的截图发给了推特上相应账号的关注者。
第 3 阶段:备受瞩目的比特币骗局
在最初的渗透之后,黑客扩大了他们的行动以入侵。
值得注意的是,在这个阶段,黑客瞄准了“大V”账户,将其定义为“公共利益账户”,这些账户通常“由音乐、演艺界、时尚界、政府、政治、宗教、新闻、媒体、体育、商业和其他关键领域的用户维护”。
Big V账户的区别在于蓝色的验证徽章,“让人们知道公共利益账户是真实的”。“作为在线社交媒体平台的精明用户,黑客可能知道来自Big V账户的推文将使他们的比特币骗局看起来更加合法。
黑客首先操纵了与知名加密货币公司和个人相关的帐户。
下午 2 点 16 分左右,黑客劫持了加密货币交易员“@”的账户,并在推特上发布了以下公告,要求提供比特币。
随后,黑客通过“@”帐户向多个用户发送了几条私人消息,其中包含比特币钱包的支付链接。
黑客升级了他们的 攻击,并改变了他们的诈骗计划财经股票配资,直接转发了受感染的加密货币公司的推文,包括付款请求。下午 3 点 18 分左右,黑客入侵了加密货币交易所的帐户,并发送了一条包含比特币诈骗地址链接的推文。
下午 3 点 26 分到 4 点 12 分左右,黑客劫持了 10 个与加密货币相关的账户(包括政府监管的实体、信托和公司),并发送了不同版本的消息。
接下来,攻击者下了一场绝望的赌注,瞄准了拥有数百万粉丝的Big V的账户。下午 4 点 17 分到 6 点 05 分之间,黑客使用知名人士和知名公司的泄露帐户发送推文,例如特斯拉首席执行官埃隆·马斯克、联合创始人比尔·盖茨、说唱歌手兼企业家坎耶·韦斯特以及媒体名人、企业家金·卡戴珊·韦斯特、民主党总统候选人小约瑟夫·拜登、伯克希尔哈撒韦公司首席执行官沃伦·巴菲特、不败的职业拳击手小弗洛伊德·梅威瑟、 以及 Uber 和 Apple。黑客还使用一些受感染的帐户多次转发相同的比特币骗局推文。
考虑到每个知名用户帐户的关注者数量,这些诈骗推文覆盖了全球数百万潜在受害者。黑客通过黑客窃取了价值约118,000美元的比特币。
4.用户的非公开信息被曝光
在 漏洞中,130 个 用户帐户被盗。其中,有45个账户被用来发送推文。
对于涉及的七个 帐户,黑客还通过 的“您的 数据”(YTD) 工具下载了帐户信息,该工具提供了 帐户的详细信息和活动摘要。YTD 中的信息包括用户的个人资料信息、推文、私信、媒体(包括推文和私信附加的图像、视频和 GIF)、账号的关注者列表、用户关注的用户账号列表、用户的通讯录、 推断的用户人口统计信息,以及用户在 上看到或参与的广告信息, 等。用户可以通过登录他们的账户,输入他们的账户密码,然后提出请求来获取 YTD。
黑客使用内部工具为7个账户申请了年初至今并下载了数据,而另外52个账户的数据被请求但未下载。证实,它已经直接联系了所有下载了YTD的帐户所有者。这 7 个账户都不是 Big V 账户。
认为,在 130 个目标账户中,多达 36 个账户的私信收件箱被黑客访问,其中包括荷兰民选官员的 Big V 账户。在被黑客攻击后的一周内,荷兰政治家Geert向多个新闻来源证实,未经授权的直接消息是从他的帐户发送的。据推特称,没有访问其他前任或现任民选官员账户的其他私人消息收件箱。
5. 推特回应
7 月 15 日上午,在几名员工报告了可疑的登录和电话后, 意识到了这次攻击。下午 3 点 18 分左右,这家加密货币公司的账户被接管, 的内部事件响应团队仍在调查可疑电话。他们做出了紧急回应,但花了几个小时才将黑客从系统中移除。
的入侵发生在光天化日之下,但没有公开报告任何实时事态发展。相反,在 7 月 15 日的大部分时间里, 唯一公开承认的是删除了显示其内部工具以及与骗局相关的截图的推文。
下午 5 点 45 分左右, 在推特上表示,它“意识到影响 帐户的安全事件”,并“正在采取措施修复它”。
不幸的是, 直到下午 6 点 18 分才向用户确认了这些措施,其中包括阻止许多有影响力的账户发推文或更改密码,以及锁定在事件发生前 30 天内更改密码的账户。这直接导致一些公共机构无法访问他们的账户,例如,国家气象局无法在推特上发布龙卷风警告,甚至金融服务管理局的推特账户也无法使用几个小时。
在内部,采取了严厉的措施来阻止入侵造成的损害。为了防止黑客进一步渗透到他们的系统或个人帐户,它严格限制或撤销员工对其内部系统的访问,导致用户维护请求的响应时间很长。它还有一个积极的验证过程:每个员工(从首席执行官杰克·多尔西开始)都必须在视频会议的监督下手动更改他们的帐户密码。
晚上 8 点 41 分,在官方宣布违规行为大约三个小时后,大多数账户都能够恢复发推文。
6. 安全漏洞有助于黑客成功
黑客事件提醒我们,即使是初出茅庐的网络犯罪分子也会造成严重破坏。黑客的成功很大程度上源于内部网络安全协议的缺陷。
问题从顶部开始。自 2019 年 12 月以来,即入侵前七个月, 一直没有设立首席信息安全官 (CISO) 职位。缺乏强有力的组织领导和高层参与是网络安全薄弱的常见原因。COVID-19 大流行给 IT 和网络安全带来了一系列新的挑战,尤其是 2020 年将需要强有力的领导。与许多机构一样,由于大流行, 在 3 月份转向远程工作。这种转变使更容易受到网络攻击,放大了现有的弱点。
黑客直接利用了向远程工作的转变。2020 年 3 月,全面实施远程工作的兴起给 的技术基础设施带来了压力,员工在连接到 VPN 网络时经常遇到问题。黑客通过假装从 的 IT 部门打电话询问 VPN,然后说服员工将他们的凭据输入类似的虚假 VPN 登录网站来利用这些问题。黑客的说法更加可信,并最终成功,因为 的员工都使用 VPN 进行工作连接,并且经常遇到需要 IT 部门协助的 VPN 问题。
黑客依靠一种简单的策略来入侵:社会工程。社会工程是指使用欺骗手段诱骗个人泄露机密或个人信息,然后用于实施欺诈。也许最著名的社会工程攻击类型是网络钓鱼——使用欺骗性电子邮件来诱骗收件人,例如,打开恶意附件或提供他们的用户名和密码。黑客使用“电话钓鱼”,这是通过电话进行的社会工程。网络钓鱼和电话钓鱼是黑客进入网络的最常见方法之一。例如,在 2020 年 1 月至 7 月期间,提交给 FSA 的重大网络安全事件通知中约有三分之一涉及网络钓鱼或网络钓鱼。
黑客依靠有关及其员工的基本信息来使欺骗行为更加可信。黑客似乎已经进行了研究,以确定 员工的基本职能和头衔,以便他们能够更好地冒充 的 IT 部门,而网络钓鱼本身的对话可以提供有关 内部运作的更多信息。有了这些个人信息,黑客设法说服了几名 员工,他们来自 的 IT 部门,并窃取了他们的身份凭据。
2020 年 3 月之后, 没有实施任何重大的补偿控制措施来降低远程工作的高风险,黑客利用了这一点。 现在正在实施额外的安全控制措施,以防止将来发生类似攻击,例如改进 MFA、增加网络安全意识培训,并于 2020 年 9 月下旬宣布聘请新的首席信息安全官。
黑客攻击的后果表明,和其他社交媒体公司应该在遭受网络事件袭击之前积极主动并实施强有力的控制措施,而不是事后修复它。
7. 事件凸显社交媒体平台的安全风险
和其他大型社交媒体公司很受欢迎,并提供有价值的服务。通过,消费者可以接收来自朋友和熟人的更新,来自媒体的突发新闻,以及来自政府当局的公共安全和紧急通知。在许多情况下,推文会邀请用户点击其他网站的链接,这些网站可用于购买商品或服务。
黑客攻击凸显了与等社交媒体平台相关的风险。一个少年和他的年轻同伙可以很容易地入侵并劫持世界上最知名的人和组织的账户。这个黑客团伙仍然局限于传统的欺诈活动,如果这种入侵攻击是由资源丰富的敌人发起的,它将通过操纵公众对市场、选举等的看法造成更大的破坏。
近年来,和其他社交媒体平台被用来影响金融市场,造成毁灭性的后果。例如,2013 年,黑客接管了美联社的 帐户,并在推特上虚假声称白宫的两起爆炸事件伤害了巴拉克·奥巴马总统股票配资平台平台,导致标准普尔 500 指数在几分钟内损失了 1365 亿美元的价值。金融犯罪分子利用社交媒体进行“拉高出货”计划,通过虚假或误导性推文暂时抬高股价,导致股价暴跌,并在毫无戒心的投资者出售股票并停止广告时受到伤害。多项研究表明,无论一条推文是真是假,它都会影响交易量和未来的市场活动。
社交媒体也会扰乱选举和公共机构。2020年7月,美国国家情报总监办公室宣布,俄罗斯和伊朗等国正在利用社交媒体和传统媒体影响力措施干涉民主进程。这与参议院最近的一份报告一致,该报告发现俄罗斯在2016年大选期间发起了网络影响行动,旨在破坏人们对民主制度的信心并挑起社会不和。
这种影响很大程度上是由于美国人对社交媒体的依赖。2019年初,推特的月均活跃用户超过3.3亿,到2020年年中,推特的日均活跃用户超过1.86亿,其中近20%(3600万)在美国,超过一半的美国成年人“经常”或“有时”从社交媒体获取新闻。2020 年,社交媒体是美国人(尤其是 50 岁以下的人)的主要新闻来源之一,仅次于新闻应用程序和网站。与此同时,公众对更广泛的媒体生态系统的信任度正在下降:2019-2020年的一项调查发现,“公众对该国两极分化的媒体环境的信任度很低”,这为错误信息的盛行创造了可能性。
鉴于社交媒体平台在全球通信中的重要性以及过去的攻击历史,漏洞等事件使社交平台面临选举、金融市场以及国家安全的稳定性和完整性的风险。
8. 网络安全最佳实践可降低风险
正如漏洞所显示的那样,网络安全漏洞可能会产生严重后果。以下做法可以帮助保护消费者和相关行业免受类似的黑客攻击,并将大大降低 入侵的可能性。
领导
鉴于网络安全的重要性,从高层开始很重要。领导力至关重要,行政领导应该对网络安全负责。金融服务管理局的网络安全法规要求公司拥有 CISO,这是有充分理由的。首席信息安全官应具有足够的独立性,以推动网络安全协议的改进。此外,首席信息安全官在获得高级管理层和整个组织对网络安全措施的支持方面发挥着重要作用。如果没有首席信息安全官,高层领导似乎没有认真对待网络安全。
访问管理和身份验证
的访问管理和身份验证未能阻止初出茅庐的黑客获取强大的内部工具。访问控制是一种安全技术或措施,用于限制谁可以访问或使用资源。根据最佳实践,FSA 的网络安全法规要求每个用户仅访问他们完成工作所需的系统和应用程序。应定期重新认证访问权限,以适应角色和职责的变化。
确实有一些访问控制措施,但它们不足以阻止入侵的发生。 限制对内部工具的访问,但 1,000 多名 员工仍在使用这些工具来履行工作职能和职责线下配资,例如 用户帐户维护和支持、内容审核以及回应违反 规则的报告。入侵事件发生后,立即减少了可以使用内部工具的员工数量。
认证要求也应根据风险进行调整。例如,对于高风险应用和功能(如 的内部工具),认证要求应该更加严格。访问关键功能需要 MFA。对于高风险职能,另一个可能的控制措施是要求另一名员工在完成操作之前必须获得认证或批准。如果攻击者仅破坏对一名员工的访问,则上述要求可以减少损害。
MFA 至关重要,但并非所有 MFA 方法都是一样的。 使用基于应用程序的 MFA,将身份验证请求发送到员工的智能手机。这是 MFA 的常见形式,但可以规避。在 漏洞中,黑客通过说服 员工在登录时执行基于应用程序的 MFA 身份验证来绕过 MFA。最安全的 MFA 形式是物理安全密钥或硬件 MFA,它使用插入计算机的 USB 密钥来验证用户身份。这种类型的硬件 MFA 可以阻止黑客, 现在正在实施它来代替基于应用程序的 MFA。
员工教育培训
黑客通过社会工程攻击愚弄 员工而取得成功。这些类型的攻击可以针对组织任何部门的员工,第一道防线是确保所有员工都意识到威胁,包括旨在利用远程工作新常态的社会工程技术。例如,金融服务管理局的网络安全法规要求所有员工定期接受网络安全意识培训。除了设置培训指标外,组织还应定期进行网络钓鱼和电话钓鱼演习,以测试其应对此类攻击的能力。
组织应进一步建立统一的信息沟通标准和对员工的相关教育。例如,联邦金融机构考试委员会( Board)为金融机构的安全性和稳健性制定监管标准,建议客户在在线访问产品和服务时进行网络安全卫生教育。
这些原则也适用于员工,尤其是在访问雇主的 VPN 或使用自己的设备而不是雇主发放的设备时。
安全监控
除了确保正确的人在正确的时间拥有正确的访问权限外,最佳做法是始终记录和监控其使用情况。安全信息和事件管理 (SIEM) 系统不仅记录使用情况,还收集、聚合、分析和关联来自离散系统和应用程序的信息,并使用这些信息来识别异常活动,包括内部威胁和恶意参与者。
如果 有一个强大的安全监控计划,它可以近乎实时地检测异常活动并快速响应(或根据风险主动终止会话)。安全团队应使用 SIEM 系统来监视网络活动并跟踪威胁警报。
无论采用何种日志管理方法,组织都应制定适当的流程来收集、聚合、分析和关联安全信息。安全策略应定义安全和操作日志的保留期。机构维护事件日志以了解安全事件或网络事件。监视这些事件日志中的异常情况,并将其与其他信息源进行比较,可以增强组织掌握趋势、快速响应威胁和改进报告的能力。
文章原创于金源网络科技有限公司:http://haimianbeibei.com/
