DDoS攻击和恶意软件变得越来越复杂,然而现在有另一种攻击并不需要太多的技术,甚至只要一个电话或一封邮件,却一样非常危险。这也提醒了主机用户在选择主机商时多了一个需要考虑的因素。
这种攻击叫社交工程(social engineering),这种攻击主要靠操作和人为错误,诱骗受害者或他们的服务提供商提供敏感信息,以获得访问或其他在线账户。
Thycotic软件公司的首席安全官员凯文·琼斯说:“当人们想到安全攻击的时候,最先想到的一般是解密的数据或是软件病毒,但攻击的绝大多数、软件安全最大的漏洞,恰恰是人。我们有做决定的能力,也就有做出错误决定的可能。” Thycotic软件是一家专门为系统管理员提供IT管理软件的公司。
在最近一个社交工程相关的安全事件中,攻击者伪装成Paypal工作人员以获取GoDaddy和Twitter用户的信用卡信息。随着这类安全事故频见媒体,社交工程已日益成为主要的攻击形式。
此次攻击利用了一个属于一位软件开发者直树广岛的单字符Twitter账号。为了获得这个Twitter账号,攻击者伪装Paypal员工获得受害者信用卡的后四位数字。然后,攻击者自称是直树广岛联系了GoDaddy,称自己丢失了信用卡但是记得最后四位数字。在仅有这4个数字的前提下,GoDaddy的客服就让他接管了主机账户,而没有进行标准的身份验证。
琼斯说:“GoDaddy和Twitter的事件不是个例,主要是因为这两家公司刚好被涉及。”对主机商来说,这起事故揭示了关于账户认证方式和员工培训上的问题:应该如何应对社交工程这类攻击。
琼斯称:“作为一个和主机商打交道的人,我最先想到的是主机商如何才能确认自己的客户,我的数据还是我的么。如何培训自己的售后工程师和客服人员,以及如何更新和确认什么是员工该做的和不该做的。如果我将要和一家主机商打交道,这些都是我会最先问的问题。”
琼斯认为客户应该询问他们的主机商关于员工培训政策、如何保护数据的问题,以确保自己的权益不被侵犯。
琼斯补充道:“另一件主机商可以做的事是控制在什么时候员工可以重置或发送重置密码给用户。要做到这一点,员工就必须有访问系统的权限。内部稽核这时就成关键。主机商应该制定一些硬性规定,如规定确认用户身份的流程。如果用户能够提供某些不会改变的安全pin码,至少能够证明掌握这个账号的一些信息,然后主机商和用户进行交流以解决问题。其实,解决这类安全问题,最好的办法就是进行对话。”