|
|
|
 |
|
CEO們是否已成為網絡犯罪分子的目標
|
|
來源:IT 168 2008-03-04 11:03:05
|
|
作者:潘春燕編譯 【IT168專稿】一家《財富》1000強公司的首席財務官用鼠標點擊一封似乎是直接下屬發來的電子郵件。實際上,對方是他素不相識的人;確切地說是盯上了這位薪水豐厚的主管的犯罪分子。對方通過公司網站和社交網站翻閱該公司提交給證券交易委員會的文件,并且搜集個人資料。 如今,網絡犯罪分子擺好了架勢、準備發動攻擊,以便搜尋這名首席財務官的硬盤,竊取信用卡號碼、訪問公司數據庫或者其他專有信息所需的密碼。 首席財務官只要輕輕點擊一下鼠標,就會遇到大麻煩。如果你是他手下的IT經理,同樣不能幸免。 如果說兜售偉哥的垃圾郵件發送者和騙取信用卡號碼的網絡釣魚者是進行地毯式轟炸的計算機犯罪分子,那么所謂的針對公司高管的攻擊者就是狙擊手。他們選擇的對象比較固定,通常是數量比較少、但很有錢或者地位很高的個人。 他們獲取的目標是公司以及/或者個人的數據,這兩種資料對攻擊者來說極其有利可圖。黑客們可以利用獲得的信息在其他地方造成進一步的破壞;或者更有可能的是,他們會通過在線地下服務器兜售或者轉手賣掉這些信息,從中牟利。 這幾種有針對性、以公司高管為對象的攻擊目前還很少見,不過呈上升趨勢;這幾種攻擊非常狡猾,足以令普通的IT經理倒吸一口冷氣。 跟蹤資金路徑 Matt Sargeant是總部設在紐約的安全服務提供商MessageLabs Ltd.的高級反垃圾郵件技術專家,他說,針對公司高管的攻擊“大概在一年前開始出現,當時數量還非常少,但此后就一直迅猛增多。” 去年夏天,24歲的俄羅斯人Igor Klopov和另外四個人受到紐約大陪審團的指控,罪名是竊取了150萬美元,并且企圖另外從十幾名有錢人竊取1070萬美元。Klopov借助《福布斯》雜志上的全球400大富豪排行榜,選擇下手目標。這些富豪包括得克薩斯州的富商Charles Wyly以及TransUnion信用局的總裁Anthony Pritzker(后者是以經營君悅飯店聞名的Pritzker這個顯著家族的成員)。 美國政府指控:Klopov發現了有關一些受害者的房地產和信用額度的信息(有許多信息是公開的),然后利用這些信息建立了檔案。他還在Monster.com、CareerBuilder.com以及類似的就業網站上招募同伙。 這幫人偽造了身份,然后利用偽造身份來聯系受害者的金融機構(JP摩根大通銀行、美林和富達投資公司),試圖獲取受害者的賬戶信息、騙取支票簿副本以及從事類似勾當。這些金融機構識破了騙局后,立即匯報了當局。 一家《財富》500強金融機構的IT經理說,他所在公司最近也遭到了針對公司高管的攻擊。這一回,這家銀行的一名主管在家里工作時,筆記本電腦遭到了黑客攻擊。黑客竊取了密碼和登錄資料,試圖進入銀行的部分賬戶。這位不愿透露姓名的消息人士表示,對方最后沒有得逞,事后查明來自俄羅斯的IP地址。 數據庫和安全顧問George Brown說,他總是告訴他的那些CEO客戶,要積極保護好私人信息。 Brown是新澤西州切里希爾的數據庫解決方案公司的CEO,他說:“現在網上一片混亂。上市公司不得不公布有關公司高管的大量信息,所以這些信息已經唾手可得。我告訴他們不要把更多的信息放到社交網站上,免得節外生枝。如果沒有絕對必要,不要在網上公布任何私人信息。” 有位高管是波士頓地區的一家健康醫療組織的CIO,她對此就有切身體會。雖然她說自己沒有直接遇到過任何有針對性的攻擊,但在處理各種電子郵件時卻謹小慎微。她強調:“我平時不會打開任何電子郵件,除非絕對有把握,知道郵件是誰發來的。如果我錯失了重要信息,對方會打來電話。” 這位CIO說,她所在組織的IT開支當中用于多層安全的比例在逐年增加,她也不參與任何商界社交網站。她建議:其他高管也應當這么做。那么可以公開談論安全問題嗎?絕對不要這樣,她說,“除非你想成為攻擊目標。” 社會工程學伎倆愈演愈烈 一想到公司高管有可能成為攻擊目標,IT經理們的血壓就不由地升高,這有兩個原因:
不法分子通過公司的內部消息人士來熟悉情況,而這些消息人士知道成為攻擊目標的主管可以訪問哪些數據、對方傾向于信任另外哪些員工。 賽門鐵克公司安全響應小組的高級首席研究員Zulfikar Ramzan說:“如果我是攻擊者的話,總能夠找出某個技術上的漏洞,然后利用它,但我也需要社會工程學手段。如果我想攻擊某家公司的CEO,為了讓對方相信,我去上商業信用局查詢這家公司的記錄,找到聯系人,然后編寫一封郵件,佯稱對方在商業信用局的評級出了問題。”要是這封郵件看上去合情合理,CEO可能至少會看一眼。 單單在2007年9月12日和13日這兩天,MessageLabs就發現了1100封電子郵件發給全球各地多家公司的高管。這些郵件從表面上看來自一家職業介紹所,利用微軟錯誤信息引誘受害者點擊所附的RTF附件。該附件所含的可執行文件把兩個文件安裝到了目標計算機上,然后把信息傳回給不法分子。 總部設在赫爾辛基的F-Secure安全公司跟蹤分析類似威脅已有兩個年頭。F-Secure公司的首席研究官Mikko Hyppönen說:“這些案例顯然表明,攻擊者事先花了一定的時間和精力來查找及研究目標。” 犯罪分子在設計這種郵件、選定收件人時,不但利用了相對復雜的軟件工具,還利用了許多公開發布的有關公司主管的信息。 后一種信息來自美國證券交易委員會的文檔和公司網站,另外還來自社交網站,包括LinkedIn、ZoomInfo、Facebook甚至MySpace。公司主管們在這些網站上發布個人信息,別人只要留意一下,就能看到這些信息。利用社會工程學伎倆的人就可以利用工作經歷、所讀大學以及負責的重大項目等方面的信息,編寫收件人可能會打開的郵件。 Hyppönen說:“這問題很嚴重,因為雖然攻擊者從公司外部發來電子郵件,但郵件看上去像是內部發來的,好像發件人與攻擊目標有工作上的聯系。發件人似乎就是在同幢樓辦公的同事。” 這種情況下,存在漏洞的某個Word或者Excel文件成了傳播特洛伊木馬的途徑。“它實際上是一個文檔,但受到了破壞;它會導致你運行的Word版本崩潰,進而運行漏洞。” F-Secure看到過這樣一些案例:漏洞代碼稍加修改,結果目標公司在運行的某個反病毒程序就發現不了它――黑客事先摸清楚了對方用的是哪一種反病毒程序。由于黑客對代碼沒有大動手腳,所以更難查出漏洞代碼。 內部人員在搞鬼? 也許更加讓人不安的是,攻擊者了解公司的安全系統很可能意味著對方就在公司工作,要不就是認識之前或者如今在公司工作的人員。 Hyppönen 估計,F-Secure在近兩年觀察到了20到25起這樣的攻擊。他說:“這不是很普遍,但是一旦發生這樣的情況,確實是一個嚴重問題。有時候,系統管理員查看防火墻日志以及用戶在何處連接網絡、查找異常情況時,才發現安全泄密事件。他們有可能發現,研發部門的某兩個工作站連接到了東歐國家的服務器,其實它們不應該連接。” 在其他情況下,由于漏洞有時候使用軟件rookit,用戶可能開始會遇到PC問題。然后,IT人員運行F-Secure的BlackLight或者另一款rookit檢測工具來進行調試、查找問題,結果他們懷疑可能是惡意軟件在作祟。 那么這些犯罪分子到底是哪些人?他們想用公司主管們的數據來干嘛? 對許多犯罪分子來說,竊取數據只不過是數字游戲而已。一個有效的信用卡號碼能賣一定數目的價錢。而一名有錢高管的信用卡連同駕照號碼和社會保障號碼卻可能價值10倍或者20倍。 賽門鐵克公司的Ramzan說:“一個信用卡號碼通常能賣到50美分到5美元,具體取決于信用額度等。如果你想購買帶有社會保障號碼的身份,可能要花10到150美元。” MessageLabs公司的Sargeant認為,不法分子更有可能是有組織網絡犯罪團伙的成員,而不是公司間諜。Sargeant說:“獲取所有這些信息,然后匯集起來牟取暴利,這無疑是純粹的有組織的犯罪活動。直覺告訴我,這本身不是什么公司間諜行為;而是大量信息的買賣及交易行為,企圖闖入賬戶。” 這倒不是說,公司間諜行為并不是這類活動的一個目標――Sargeant認為,只是說不法分子最有可能是第三方,而不是直接競爭的對手。“如果你設法弄到了某家公司(比如尼康)的具體信息,可能會試圖把信息賣給這家公司的某個對手――你可以說‘佳能也許會感興趣。’但我沒有看到這一幕開始出現在諸多公司內部。” F-Secure公司的Hyppönen不是這么肯定。他說,不法分子可能是有組織的犯罪分子、公司間諜或者兩者的某種結合體。F-Secure受理的攻擊大部分集中在某些類似行業,而針對的信息更多的是公司信息,而不是個人信息。 他說:“我們其實并不知道這是外包行為還是間諜行為。受到影響的公司大多數都從事于同一個行業領域。”不過他不愿指明歐洲的哪些行業受到了影響。他又說,有些政府組織也成了攻擊目標,包括某些國家的國會議員。 如何打反擊戰? 觀察人士認為,不法分子盯上公司防火墻內部的高層人士這種現象日益普遍,有以下三個原因: 1、公司主管如今親自收閱電子郵件,并使用自己的PC應用軟件,而不是把這類任務交給行政助理去處理; 2、他們出差時更經常攜帶小巧、安全性較低的數字設備; 3、與其他人一樣,他們也經常使用社交網絡,在此過程中無意泄露了資料,從而可能成為犯罪分子的目標。 那么如何奮力反擊呢? •增強辦公室安全 首先,IT人員需要為上司增強安全,無論是辦公室安全,還是上司希望在家工作時的安全,這需要確保桌面電腦、服務器和網絡等層面的反惡意軟件軟件和服務都是最新版本。 最基本的安全措施(包括經常更改密碼)也要得到嚴格執行;另外必不可少的是,Word、Excel 或者Acrobat的任何安全漏洞都要迅速得到妥善修補。IT人員應當尤其要確保:手持設備上運行的操作系統(這通常不在桌面反病毒程序的保護范圍之內)同樣總是及時更新。 •向上司傳達信息 IT管理人員應當告知高層主管,如果他們點擊了通過電子郵件接收的Word、Excel或者PDF文檔;如果應用程序似乎在啟動,但隨后關閉、重新啟動,就要立即通知相關人員。Hyppönen解釋,這有可能是特洛伊木馬企圖隱藏到相關應用程序里面。 通過電子郵件發來的文檔要求運行常駐宏指令時,公司主管以及任何計算機用戶都應當格外小心。這種情況下,運用一些常識能派上用場。法律部門的人員需要首席運營官來運行Word宏指令,這合乎常理嗎?如果不合常理,就不要運行。 •加強移動安全性。因為高層主管往往外出辦公,所以IT人員必須確保上司使用了安全的網絡連接做法。CEO和CFO外出時要連接到公司網絡上,應該總是使用虛擬專用網(VPN);另外還要告訴他們,千萬不要通過未加保護的無線連接來發送各種機密信息,包括私人信息。 ABI Research是總部設在紐約州奧伊斯特貝的市場研究公司,專門研究分析新興技術。公司的分析師Stan Schatt說:“公司主管這群人迫使許多企業并不情愿地為他們提供移動性。IT人員只好為需要使用Treo手機和智能電話來使用電子郵件的高層管理人員開通網絡。” 但是“在許多情況下,同樣這些主管不是特別小心,IT人員只好為這群人規定標準做法,比如采用VPN和安全家庭路由器等安全機制,”Schatt如是說。 IT人員當中經常提到的一個主題是,習慣于享受特權的高管們不喜歡有人告訴他們如何、何時使用PC和手持設備。他們希望需要時可以隨時隨地使用這些工具,不管是在什么樣的場合、什么樣的安全環境。 許多高管甚至不通過VPN就使用電子郵件。前文所述的那家《財富》500強金融機構的IT經理說:“他們不習慣有人對自己指手畫腳。” 那家公司的一名主管把公司電話會議所需的800電話號碼和通行碼(pass code)放在了其共享的谷歌日歷上。因為這些號碼重復使用,這絕非小問題。“我們在谷歌上搜索了一下,結果到處都有這個號碼,”那名IT經理說。“如果壞人想要獲取信息,只要撥打這個號碼,就可以聽電話會議了。” •提防社交網絡 最后就是社交網絡這個全新領域。社交網絡不但吸引了普通百姓,同樣吸引了公司主管。一個重大區別在于,潛在的犯罪分子關注那些聲名顯赫的高管是心懷鬼胎的。 如果公司的高層主管在任何專業網站和社交網站上發布在公司的行蹤和業績的近況,可能面臨更大的風險。 賽門鐵克公司的Ramzan說:“我會建議,公司應當監控自己的員工把哪些信息公之于眾。很多時候,人們向公眾透露有關自己生活的很多細節。要是攻擊者搜尋到了這些信息,可以為該人建立一份全面的信息檔案,以后可以用來為竊取身份提供便利。” 簡而言之,公司的IT專業人員一定要加強服務器、PC和網絡安全技術;但更重要的是,他們需要確保他們支持的上司認識到社會工程學伎倆,因為這些伎倆可能會促使他們無意中泄漏了大量信息、銀行賬戶甚至公司機密。 想揪出網絡犯罪分子的老巢很困難。他們通常借助一系列“DNS跳躍器”(DNS bouncers)來傳送收集而來的數據。這種跳躍器把數據從一臺服務器發送到跨越國界的另一臺服務器,以掩蓋最終目的地。 他強調:“起初,信息好像是傳送到某個東歐國家,所以馬上想到‘這肯定是東歐國家。’但事實并不這么簡單。” |
