用戶請謹慎 駭客不易防

（德國之聲中文網）其實，大部分人已經意識到了駭客攻擊的風險：他們對帶有附件的垃圾郵件十分警惕，因為裡面可能隱藏了病毒。不過IT安全顧問威廉姆斯（Ben Williams）介紹說，如今，真正的危險性攻擊是通過其他途徑進行的。他為NCC集團工作，任務是給知名生產商的軟體做滲透測試，也就是通過模擬惡意駭客的攻擊方式來評估軟體的安全性。幾乎每次測試他都能夠成功侵入。比如電子郵件伺服器。

威廉姆斯表示：「作為駭客我必須清楚地知道，伺服器上安裝了哪些產品，這個產品的網路地址是什麼。……如果我向實際上完全不存在的用戶發送電子郵件就可以掌握這些訊息。如果這封郵件抵達一個公司，會通過各種過濾系統。前提條件是它不會被當作危險訊息。」

凡走過必留下痕跡！

通過這種方式，這個虛假郵件可以直通內部郵件伺服器。而後者因為收件人並不存在就會把這封郵件返回給發件人，威廉姆斯說：「如果這封郵件被退回來，我就會察看著郵件的數據。這封郵件經過的每一站都會在標題欄留下訊息。而我從這裡入手就可以找出防火牆、電郵過濾的地址，這些都是什麼產品，安裝的是哪種版本。這些數據都有助於我計劃攻擊行動。」
大多數時候威廉姆斯能夠成功獲得想要得到的訊息，從而可以進行下一步攻擊：首先他會發動一次釣魚式攻擊，他必須騙取管理員的信任：「我得讓一個內部用戶自願點擊一封電子郵件中的鏈接。這個鏈接是我之前特意為其準備好的。這個用戶應該訪問一個我做成的網站，這個網站可以幫助我攻擊產品。」

在這個假冒的網站背後隱藏著一個看不見的小程序。如果管理員正在郵件伺服器上登錄，運行的時候，這個程序就會進入伺服器上，並且給駭客打開一扇「後門」。不過威廉姆斯是怎麼瞞過天生多疑警惕的系統管理員呢？

這位安全專家表示：「我可以裝作是內部員工向他提意見，這個系統給我轉發了過多的垃圾郵件。或者是我跟他說我嘗試向市場部門發送郵件可是對方收不到。我會給管理員寫信，信中寫道，這裡是更多訊息。如果管理員點擊鏈接，那麼我就會取得他的電子郵件過濾器的控制權。」

LulzSec駭客2011年成功侵入數個金融和政府機構，其中包括美國參議院以及美國中央情報局(CIA)。

方便自己 方便他人

麥克安德魯斯（Michael McAndrews）如今是一位私人IT安全顧問。他當時是美國聯邦調查局的特別探員，負責追蹤LulzSec駭客。麥克安德魯斯表示：「我看過的每一個案例都是和密碼多重使用相關。人們在多個網站使用同一個用戶名字和密碼」。他還補充表示：「很遺憾這是個全球性的問題，人們大多不願意多動腦筋。當然記住一個密碼要比記住12個密碼更加容易，可是如果我在所有的網站都用一個密碼的話，對我來講很方便，對罪犯來說也很方便。」


在很多網站上，人們可以在電子郵件一欄更改現有的密碼。麥克安德魯斯表示：「很多公司都要求用戶額外回答一些問題。可是這些回答對於駭客來說能夠輕而易舉地找出答案，比如您在哪兒長大？您寵物的名字是什麼？如果用戶曾在網路上公開過這些訊息的話，別人就能找到。」

也是基於這個原因這些訊息不應該放到臉書或者是部落格上面。IT安全顧問威廉姆斯也認為，謹慎小心是網路上的首要準則：「發動釣魚式攻擊的時候我總是能夠讓IT團隊的成員輸入執行代碼，甚至洩漏密碼。行動過後對方總是很吃驚，其實在IT部門工作，並不代表這個部門的人就不能上當受騙。」

作者：Fabian Schmidt 編譯：文木
責編：萬方