你可以读到Zappos的CEO托尼·谢在公司的网站上,他卖掉了他的第一家公司,如何LinkExchange微软1999年,24岁,加入了Zappos作为顾问和投资者,最终上升到该公司的最高职位。你可能不了解,托尼是一个运动爱好者,他从Nikeplus.com获得装备,看他最喜欢的节目互联网流媒体网站Hulu,保持和他的朋友们在Facebook和检查他的Amazon.com股票的价值(2009年亚马逊收购Zappos) Marketwatch.com。谢长廷知名度较低的信息,黑客的宝库——是公共的,都是一样的:从电子商务和社交网站泄露的电子邮件地址@zappos.com与首席执行官。
谢长廷不是独自一人。新公布的一项分析安全研究员塞萨尔Cerrudo发现高管像谢长廷,包括许多在财富500强公司,经常使用他们的商业电子邮件地址来访问各种著名的社交媒体网站。练习,而不是一个安全漏洞,让潜在的破坏性的线索对复杂的黑客和网络犯罪的意图获得高管电脑和公司账户。
(盗贼画廊:9臭名昭著的社会工程师]
Cerrudo,安全公司的首席技术官IOActive实验室,扫描30知名网站,发现840独特的电子邮件地址的c级企业高管与930网络账户。它们包括42个Facebook账户与电子邮件占美国石油巨头雪佛龙公司等公司的高管,蓝筹公司通用电气和金融服务公司Chase.com和摩根士丹利(Morgan Stanley)。迪斯尼的首席执行官罗伯特•伊格尔用他的企业电子邮件登录和Netflix上看电影。丹尼斯·莫里森坎贝尔汤使用她的连接与朋友在Facebook上和与美国联合航空公司制定旅行计划。尽管他们深竞争,微软和苹果公司的蒂姆•库克的史蒂夫·鲍尔默(Steve Ballmer)都有账户Dropbox.com基于云端的文件共享服务与他们公司的电子邮件地址,Cerrudo的数据显示。
(看看塞萨尔Cerrudo的黑帽会议”,破网络:拥有你喜欢的ceo”)
对他的调查,Cerrudo选择从财富500强公司的执行者,和其他知名公司。他使用一个自动爬虫检查网站的账户与高管的电子邮件。活跃账户在网站可以“默默地枚举,”Cerrudo发现——泄露在回应一个自动的登录尝试或通过密码恢复功能。
网上的一些酒吧他检查,可以预见的是,受董事会会议室集合,包括《华尔街日报》的网站,彭博新闻社,MarketWatch.com和《纽约时报》。账户酒店和航空公司的网站,如曼联和喜达屋酒店的账户经常与沉重的高管,旅行。
耶利米说:“我并不感到吃惊,格罗斯曼,网络安全公司的首席技术官WhiteHat security。“我是一个执行,我用我的企业电子邮件签署一些这类服务的。”
然而,一些研究结果令人惊讶。七十六年执行的电子邮件与账户在基于云的存储公司Dropbox.com和38个账户的网站nikeplus.com和garmin.com,它出售带有gps功能的运动手表和齿轮。
最终研究不能证明,企业高管使用公司电子邮件地址来访问网站——只是账户与这些电子邮件地址存在,Cerrudo笔记。不过,可以肯定的说,大多数都是合法的。高管命名这个故事里拒绝置评或出版之前没有回复记者的置评请求。
技术和基于互联网的公司高管,比如谢长廷在Zappos,被发现在那些使用他们公司的电子邮件地址网上最自由。Craig Newmark,在线公告牌Craigslist.org的创始人,在DropBox账户,谷歌,Facebook, Twitter, Netflix, Plaxo,连锁酒店喜达屋以及《纽约时报》和《华盛顿邮报》等媒体网站所有链接到他的电子邮件craig@craigslist.org。
Cerrudo的研究强调了程度的电子邮件地址已经成为关键的在线身份。近年来,受欢迎的网站——Facebook首席其中——摒弃独特登录支持使用客户的电子邮件地址作为一个帐户标识符。这些网站然后在分享的信息作为登录过程的一部分:披露是否电子邮件地址已经存在于他们的系统当用户试图登录,或者使用密码恢复功能,WhiteHat Security格罗斯曼说。
社交网络和电子商务网站通常旨在帮助用户登录有问题——例如,通过指示一个帐户是否存在,但是密码是错误的,或者没有这样的账户是否存在,格罗斯曼说,网络安全专家。攻击者可以使用自动化的工具来“蛮力”这些特性,获得的账户。安全特性,从一个特定的IP地址限制登录或使用CAPTCHA-style挑战和应对技术防止自动攻击没有有效地阻止这些攻击,格罗斯曼说。正直善良的好公民的数据显示,大约16%的网站都是容易受到这种蛮力攻击。
“登录限速没有有效的方法,“格罗斯曼说。和社交网站之间竞争欲望:确保帐户访问和为顾客提供高质量的用户体验可能会天真地忘记了密码。“你不能有你的蛋糕和吃它,同样,“格罗斯曼说。
不过,他承认,这种做法也不是没有风险。聪明(甚至not-so-clever)攻击者可以使用的知识之间的联系高管的电子邮件账户和在线服务组装一个概要文件的执行,然后包含恶意附件工艺令人信服的钓鱼攻击。攻击者也可以使用网站的密码恢复功能和知识收集从公开渠道获得和控制高管的账户。条件相同的电子邮件和密码组合可能提供其他网站和企业资源,。
问题是放大了的云服务,如苹果的iCloud和Amazon.com的亚马逊网络服务(AWS)。在最近的一个例子,一个文章在Wired.com上的作家马特河南恶意黑客是如何能够使用的知识描述他的电子邮件地址和一些社会工程接管该帐户,然后,用远程连接服务来消除他的电脑硬盘和移动电话。知道高价值目标像微软CEO史蒂夫·鲍尔默和苹果CEO Tim Cook使用DropBox和他们的帐户ID是什么,使攻击者的质询-响应问题远离接管他们的帐户。这并不意味着这些账户持有任何敏感的企业文档,格罗斯曼指出。但大多数恶意黑客或复杂的攻击者将至少在窃听他们的机会,ceo草率,文档存储高影响,他说。
社会工程的艺术专家认为社交媒体账户就像那些由Cerrudo扫描是一个金矿。
“当我得到雇来做一个社会工程渗透测试为客户我们做的第一件事是开始收集尽可能多的英特尔(ligence),”Chris Hadnagy说,这本书的作者社会工程:人类黑客的艺术。”,电话和网络钓鱼邮件没有什么比发现社交媒体账户更帮助我的信息。”
免费和开源取证工具等工具Maltego允许任何人联系电子邮件地址与Twitter和其他社交网络账户。一些调整和google把Facebook、LinkedIn和其他账户,透露一个丰富的信息,可以燃料攻击,Hadnagy说。
“我基本上只是寻找学校,工作,家庭,爱好,个人利益和使用工艺我攻击,”他说。“迄今为止这种方法的成功比率非常高”。
社会工程——人类的欺骗的艺术越来越被认为是一个关键的元素在几乎所有成功的网络攻击。Hadnagy的公司,Social-Engineer.org赞助商,现在社会工程”夺旗”竞赛在黑帽和其他安全节目,让参赛者与著名跨国公司的“旗帜”——敏感,但非专有信息。
过去的社会工程夺旗比赛有针对性的标志性公司如麦当劳、沃尔玛、微软、谷歌、福特和百事可乐。结果表明,即使是富有的、复杂的企业不具备抵御复杂的社会攻击,使用公开可用信息来帮助获得目标的信任。公司应该让员工意识到社交网络上使用他们的企业电子邮件的风险和其他消费网站,格罗斯曼说。“他们需要知道权衡,做出决定基于他们对风险的容忍度。”
至于网站所有者,注意账户安全不同。许多大型消费者银行放弃了使用电子邮件地址的帐户标识符,格罗斯曼说。但社交网站和其他网站更看重方便和易于访问。
安全意识的公司应该考虑将用户ID就像一个单独的密码——独特的和难以猜测,和独立于其他企业标识符像一个电子邮件地址,格罗斯曼说。这使得它所有的攻击者更难知道哪个账户集中他们的注意力。
这个实验
IOActive安全扫描840知名网站发现独特的电子邮件地址的执行者与930网络账户。这是崩溃的网站类别和相关账户。
网站/类别 |
的网络账户数量有关 |
知名网站扫描包括: |
新闻 |
241年 |
《华尔街日报》、《华盛顿邮报》Gartner经济学家,纽约时报,市场观察,彭博 |
社交网络 |
250年 |
Facebook、MySpace、LinkedIn、Naymz Plaxo, Twitter |
谷歌 |
176年 |
|
Dropbox |
76年 |
|
娱乐 |
43 |
Hulu, Netflix,索尼 |
航空公司和旅游 |
52 |
ua2go, Orbitz |
酒店 |
43 |
雅高集团酒店、喜达屋酒店 |
运动装备 |
38 |
NikePlus, Garmin |
Skype |
11 |
|
来源:塞萨尔Cerrudo,首席技术官,IOActive实验室,提出了这些信息IOAsis在黑帽,2012年7月。
这个故事,“漏水的网站提供的线索企业高管“最初发表的ITworld 。