線上名片盒服務,竟成為駭客尋找目標對象、寄送惡意郵件的最佳幫手?

許許多多的駭客攻擊其實不是想像中的那樣, 駭客端同時用九個螢幕監控情況、小小的 dos 視窗不斷跳出,甚至一定要在昏黑的房間內奸笑。事實上,更多的駭客攻擊用一種更簡單的方式進行 -- E-mail。

《紐約時報》《哥倫比亞廣播公司》《洋蔥報》《衛報》都曾受到帶有病毒連結或帶有病毒附件的惡意郵件攻擊。不管惡意郵件偽裝成其他公司的重要文件、社群網站的更新訊息,甚至是生日卡片,都是為了最終目標:取得某個員工、帳戶的帳號與密碼。

  • 駭客線上課程

不過要如何取得目標的 E-mail?資訊安全公司 RSA 的研究員 Christopher Elisan 在 BLOG 上揭露,要找到某個組織的特定目標員工其實並不難,這個工作可以用公開可獲得的資料庫像是 Jigsaw 來完成。

Jigsaw 就像一個超大的線上名片盒,擁有來自 400 萬間公司的 2,900 萬筆資料,並允許會員可以交換、分享這些資訊。你可以選擇每年 250 美元可獲得 350 筆名片資料、500 美元獲得 750 筆資料,或提供一筆資料可免費獲得一筆資料。

Christopher Elisan 表示,這對駭客來說根本就是一個養滿羊的羊圈,透過簡單的 ruby script 掃描 Jigsaw 資料庫,便可以透過公司名稱等資料搜尋 Jigsaw ID 等資訊,甚至有人將整套方法放上 Youtube 供使用者觀看。

  • 姓名、職位、部門等資料全被看光光

透過以上方法便可以成功得到目標的姓名、職位、部門、E-mail、居住城市、國家等資料,有了這些資料之後你有兩件事情可以做:一是寄惡意郵件給這個目標;二是偽裝成目標寄信給其他人。

還好 Jigsaw 也提供讓使用者更動資料的權力,理論上,使用者可以刪除掉自己的資料,不過就像 Wikipedia 一樣,你的資料仍隨時都有可能被再次加上去。像 Jigsaw 這種類似的服務有許多潛藏的危險,只需花幾分鐘就可以得到另外一個人的資訊,人人都可以成為這種等級的駭客。

Christopher Elisan 認為,任何人只要有時間與動機都可以成立一家專門攻擊、發送惡意郵件的公司,「掌握這些工具並不困難,你可以在幾分鐘內將惡意郵件發送出去,任何人都可以指揮一場攻擊。」

(資料來源:Buzzfeed;圖片來源:elhombredenegro, CC Licensed)