Twitter-GoDaddy事件的寓意是:人是最容易被入侵的

高科技的安全措施败给了老式的欺骗手段。

自由撰稿人,PCWorld的这个清单 |

所有的经验教训,从学习直树广岛的黑客失去了梦寐以求的东西@N推特处理,最麻烦的是最终将是最难以解决的。在网络安全方面,薄弱的密码和糟糕的加密标准可能是问题的一部分,但最大的问题仍然是我们自己。

广岛在一份声明中概述了导致他失去推特账号的事件。根据之前收到的潜在买家的报价,他对自己的推特账号估值为5万美元刊登在传媒上周三。不是复杂的密码破解,也不是零日的基于代码的攻击,导致了这次交易。事实上,真正需要的只是打一两个电话。

这场传奇始于1月20日,当时广岛报道有人试图侵入他的Paypal账户。广岛设置了双因素身份验证,当攻击者试图重置他的密码时,他收到了一条请求他批准更改的短信,但他忽略了。

+也在网络世界有个足球雷竞技app最糟糕的数据泄露的2013+

由于无法进入贝宝的大门,攻击者采取了令人惊讶的下一步,通过他的注册商GoDaddy攻击了广岛的个人域名。黑客通过电话联系了GoDaddy公司的代表,通过了GoDaddy公司的安全措施。这名黑客自称是广岛,并表示在访问自己的账户时遇到了麻烦。GoDaddy要求提供他的信用卡号码的最后六位数字作为身份证明,黑客奇迹般地提供了。

他怎么做到的?再次,通过一个简单的电话。在贝宝这一次齐射并非巧合。据广岛,黑客还呼吁PayPal的支持人员和使用社会工程学技巧来获得该代表告诉他的信用卡,他对文件的最后四位数字。(虽然这种谈话的细节尚未公布,这是不难想象它如何一定去:“你好,我失去了我的钱包,不知道我已经连接到我的PayPal帐户的信用卡你能告诉我,你有文件,所以我知道的最后四位数字,如果我需要更改卡上的我的PayPal帐户?”或者类似的东西。)

然后黑客得到了这四位数,并且——令人惊讶地——能够把它变成最后六位数。如何?根据广岛的叙述,GoDaddy的支持人员只是让黑客两个两个地猜测,直到他找到正确的组合,释放了账户的钥匙。这名黑客向广岛报告说,他告诉GoDaddy他的信用卡丢了,但记住了最后四位数字,于是他打开了门,进行了猜测操作。黑客一次电话就把一切都搞定了。

所有这一切都为序幕到黑客的终极目标。在掌握他的GoDaddy的帐户,黑客勒索广岛交出@n把手,他照办了。各种调查,现在正在进行,但现在@n是在一个手中的“Badal_NEWS。”

社会工程仍然有效……和工作得很好

什么地方出了错?这很容易说,Paypal和GoDaddy的难辞其咎,但在这两种情况下,其共同点是简单人性化。要真正了解这样的作品怎么样的社会工程,把自己在接收来自黑客的电话公司的鞋。恐慌的用户打电话给你,要求有一个问题你的帮助。他已经犯罪或事故的受害者,并在Web上提供的标准的安全系统都没有帮助他。这样的公司大概宝收到成千上万每天像这样的电话,和广大有可能完全合法的 - 在真正的危机真正的人。

是很自然的想帮助这些人,和一个优秀的黑客将有只是作为开发作为自己的技术技能演技。但考虑的培训和经验,大多数一线技术支持运营商的总体水平,它可能并不需要说服哄骗而放弃的数据,他们有没有业务发放了手机的很多。报价戴维麦米特“这就是所谓的一个骗局。为什么?因为你给我你有信心吗?没有。因为我给你我的。”

贝宝已经否认了其员工发布广岛的个人或信用卡information.A GoDaddy的具有“fessed到问题的其本身而言,说它是“进行必要的修改,以员工的培训,以确保我们继续提供业界领先的安全为我们的客户和保持领先不断变化的黑客技术。”

每次大的黑客攻击发生时,都使用同样的修辞。以苹果为例冻结所有电话密码重置后,记者Mat Honan遭到了灾难性的袭击在2012年。一般的电脑用户都有几十个活跃的在线账户,而且他们永远不会全部被锁定。如果黑客抓不到你的Paypal账户或GoDaddy账户,他就会去抓另一个。最终总会有人接电话的。

不完美的解决方案总比没有好

广岛在他的媒体帖子中提供了一些可以帮助你保护自己的建议。不要使用电子邮件地址绑定个人域登录。在邮件服务器的MX记录上增加存活时间(TTL),这样如果有人接管了您的电子邮件帐户,您就有更多的时间计划如何回复。和使用双因素身份验证在可能的情况。的情况下,黑客也给广岛一些很好的建议:如果你担心袭击事件,请拨打公司(贝宝在这种情况下),并要求他们对您的文件不通过电话发布有关帐户的任何细节的说明。它不能伤害。

考虑为不同的服务使用不同的信用卡。在广岛事件中,如果他将Paypal和GoDaddy绑定在不同的卡上,黑客就无法完成他的两步攻击。一些银行还会发行一次性的卡号,你可以使用,比如,支付十年的域名注册,然后永久烧掉。

你可能会考虑对自己帐户的人造攻击作为测试。打电话给你的供应商,看看他们会泄露了电话。苦苦央求,依靠人的本性,他们哄骗到帮助您。如果你不满意,他们会坚持自己的政策和保护您的个人信息,很可能就是跳槽。

这个故事,“道德经Twitter的,GoDaddy的违约:人是破解最简单的事”最初发表PCWorld的这个清单

加入对网络世界的社有个足球雷竞技app区Facebook的LinkedIn对那些顶级心态的话题发表评论。
相关:

克里斯托弗·纳尔是一位资深的技术和商业记者。他经常为TechHive,这次调查是PCWorld和有线,并经营网站Drinkhacker和电影球拍。

版权©2014Raybet2

工资调查:结果在