就是這麼簡單!美高中生用社交工程方式,駭進 CIA 中情局局長信箱

一早最勁爆的消息是,駭遍天下的美中情局局長約翰布倫南(John Brennan) 的郵箱被駭掉了。

據《紐約時報》報導,駭客是一名高中生,他和同學一起製造了這次攻擊。事發之後他們還在 Twitter 上公佈了一些名單和社保號資訊,炫耀此次行動。此外,這名高中生聲稱,這次攻擊的技術含量很低,他們只是只用了點小手段就修改了布倫南 AOL 郵箱的登錄密碼。

那究竟這位少年用的是什麼小手段呢?據《連線》雜誌報導,駭客自稱還未滿 20 歲,他和同伴一起合作完成了這次攻擊。他們首先通過反向調查,獲得了布倫南的手機號碼,得知其是運營商 Verizon 的客戶,於是冒充 Verizon 技術員向運營商索要布倫南的詳細資訊。 

具體來說,利用布倫南某些個人資訊,比如他銀行卡的後四位數(Verizon 輕鬆透露給他們的),駭客們就成功重置了布倫南 AOL 郵箱的登錄密碼。

「我們告訴 Verizon,我們是這個公司的員工,因為工具都壞掉了,所以無法訪問使用者的資料。」而在提供了一個偽造的驗證碼後(Verizon 提供給員工的特定驗證碼),他們就拿到了想要的資訊,包括布倫南的帳號、四位數的手機 PIN 碼、備份的手機號碼、AOL 電郵地址以及銀行卡的後四位元數位。

「然後我們致電 AOL 說帳號被鎖定了,」駭客說道,「AOL 工作人員詢問了類似『銀行卡後四位元數字』的密保問題,我們告知後就成功重置了密碼。」當然,AOL 工作人員還詢問了帳號綁定的姓名和手機號碼等,而這些資訊駭客也已經從 Verizon 獲悉了。

10 月 12 日,這幾名駭客進入了布倫南的電子郵箱,查閱了通過附件發送的檔,並公佈了部分資訊,甚至包括白宮用於與布倫南聯繫的電郵地址。

據駭客透露,他們成功訪問到的敏感檔包括長達 47 頁的 SF-86s 表格資訊。這個表格包括了軍人和合同工等美國政府雇員的多項資訊,甚至會關聯到這些人的朋友、配偶和其他家庭成員。這些資訊一旦被洩露,駭客可以利用這些資訊騙過聯邦官員,盜取更多人的資訊。今年 6 月,美國聯邦政府機構就遭遇了一次這樣的駭客攻擊,導致 2150 萬美國人的資訊被洩露。

更令人震驚的是,布倫南的郵件當中除了上述重要資訊,還有一封來自參議院要求中情局(CIA)停止使用嚴厲審訊手段的信件——對,就是備受爭議的嚴刑逼供手段。

直到布倫南重新獲得郵箱使用權時,駭客已經佔領了布倫南的郵箱長達三天。

駭客聲稱,這三天布倫南一直試圖登錄郵箱,但都未能成功。布倫南一把密碼修改回來,他們同樣也去申請重置,就這樣來回了 3 個回合。最後,他們忍不住通過網路電話撥通布倫南的手機,告訴對方「你被黑了!」整個通話持續了短暫的時間。

布倫南:「你們想要什麼?」

駭客:「2 萬億美元,哈哈!」

布倫南:「你真正想要多少錢?」

駭客:「我們想讓巴勒斯坦恢復自由,而你們最好也停止再濫殺無辜。」

而除了布倫南,這幾位少年還黑掉了國土安全部長 Jeh Johnson 的康卡斯特帳號。

此前,希拉蕊克林頓深陷「郵件門」,並遭到抨擊。媒體爆料稱,希拉蕊在 2009 年至 2013 年擔任國務卿的四年裡沒有政府電子郵件帳戶,只使用個人電子郵件帳戶來處理政府事務,違反了要求政府官員之間的通信應作為機構檔案加以保留的聯邦政府的規定。

現在還不清楚布倫南是否同樣地使用個人電郵賬來處理政務,抑或他只是偶爾用來儲存檔。

而這幾名駭客用最簡單的「社交工程(social engineering)」方式進行攻擊,從工程師手中成功套取了資訊,所利用的技術手段,讓「社會工程學」一詞再次躍然於人們眼前。此前,科技記者 Mat Honan 的 iCloud 帳戶被盜事件也是同樣的原理。當時駭客是通過蘋果「人工説明」的服務重置了 Honan 的密碼,成功進入被攻擊者的帳戶。然後利用 Honan 的帳戶,駭客還獲得了其他帳戶的存取權限,盜取了大量 iPhone / Mac 內的資料。

因此,有人開始反思,將大量資訊集合在一處除了有便利之外,是否隱藏著難以想像的危險。此外,掌握著用戶重要資源的公司是否該有更謹慎的態度與制度對待自己手中極大的權利, 而不要再讓駭客有可乘之機。

(本文轉載自合作夥伴《雷鋒網》;未經授權,不得轉載)