在演示如何“抢银行”前,Jayson E.Street 是非常轻松的,正甩着两条小腿坐在演讲台上随音乐在摇摆。
Jayson E.Street 是黑客盛会 DEFCON 组织的全球协调人,在 SyScan 360 对他的介绍(想必也是他自己写的)中,写道“他是一个披萨爱好者,曾经把披萨从北京带到巴西分享,他不希望人们对他的认识仅仅如此,如果注意的话会发现他在2006年被《时代周刊》评选为年度人物”,对,雷锋网(公众号:雷锋网)编辑也曾获得这个奖项,知道这个老梗的人你可以笑了。
不过,告诉你如何抢银行不是一个笑话,Jayson 今天要出奇制胜,成功夺得你的注意力。
知己知彼,百战不殆。Jayson 也懂得这个套路,为了防范和侦测这些攻击,他先要演示攻击者如何看待“你”的网站和员工,利用他们来攻击“你”。这个小伙可是在美国银行从事防御工作15年,在6年多时间内在多个项目中扮演攻击者,是居家旅游抢银行必备。
而且,Jayson 的“抢银行”还是被付费的——很多银行的 CEO 付费找他测试银行系统是否安全,是否会被入侵。
攻击电信公司
在聊聊 Jayson 是如何抢银行前,先来看看他是如何攻击电信公司,因为两个方法路数一致,仅略有差异。Jayson说,
我曾被电信公司雇佣,CEO 希望我进行钓鱼攻击,要求是只能利用一个介入点,任何人点击任何链接都受到攻击。
Jayson 采取的策略是锁定这家公司的一个人,于是他先登录电信公司的网站,找到电信公司 CEO 的介绍页面,根据页面上 CEO 的照片,找到了他的推特,然后顺藤摸瓜发现了其他相关工作人员帐号。
[该 CEO 的展示页面]
[该 CEO 的社交网站页面]
知道了这些后,他可以假装成任何人来和电信公司的员工进行联系。
在社交网站上,Jayson 找到很多资料和可能的目标。他发现,这个 CEO 中有一个联系人参加了 Mobile 360 的会议,他找到了会议网站,找到了同一会议的其中一名参会者(演讲者)的详细信息,以他的名义进行钓鱼邮件。
这封钓鱼邮件是一封商务合作邮件。
这封邮件的狡猾之处在于,提到的是从移动设备发送,Jayson 说,人们心理会有预期:移动设备打开的网页(即实际上是钓鱼网站)看上去会和实际官网不一样,于是会放心打开,就算比对也不会怀疑。
放心地打开后,出现这个页面,就说明钓鱼成功了。
到这一步,我只花了三十分钟。
Jayson 带着小骄傲说,并没有任何复杂的技术,但却完成了这次攻击。
一次未完成的银行抢劫
看上去是社会工程学的方法,事实上,在针对银行开展袭击,即抢银行时,又是另一个不同的小故事。
比较忧伤的是,Jayson 称,这个故事所有的信息搜集,在乘飞机的过程中就完成了,对,你不要嫉妒,人家乘飞机时可以上网。
曾经有一个银行想让我去介绍如何进行对银行的攻击,让我设计一个攻击路线图。我找到了某地最大的一家银行官网,登录攻击目标网站时,普通人首先看到的是:嗯,这个蓝色页面的网站很好看嘛。
不过,攻击者才不看这些,攻击者关注的是 IP 地址,找到美国主机的位置,包括是否有第三方主机服务公司来托管网站,还有其他信息,如网络、FTR、ASN,如果所有这一切都在第三方托管中,只要找到第三方托管服务器的漏洞, 不仅是这个网站,托管在上面的网站就可以一网打尽。
通过搜集信息,Jayson 在社交网站上找到这家银行的工作人员,可以详细看到各种信息,在哪里读书,手机号码、家庭地址,大家都看得到,大部分人愿意在社交网站上分享他们的信息,而“受害者”并不知道黑客在“调查”她。
Jayson 强调,重要的一点是,在美国抢劫银行前可能会先劫持银行的工作人员,拿到她的权限再来抢银行,所以获得这些有权限的银行工作人员特别危险,尤其在社交网站上把家庭地理位置和房屋照片都晒出来的这种。
他们还会被绑架,甚至作为人质,直到第二天早上这个银行上班之后,挟持他们打开保险柜,这是美国抢劫银行会出现的事。
我先从她的朋友下手,尤其是她的社交网站上新加的盆友。
他找到了目标对象——银行工作人员最近添加的参加银行开展的打保龄球活动的朋友,然后从朋友的角度发了一封钓鱼邮件给这个银行工作人员。
为什么这么做,Jayson 解释:
因为新加的朋友沟通还不多,还不熟悉,甚至之间还会提一些问题,她们还有一些共同点,比如,给孩子打保龄球的公益活动,仿制被攻击者朋友的公司邮箱地址,就可以发邮件了。
这封邮件的内容是什么,为什么被攻击者会心甘情愿地点击?
来看一下邮件内容:
在这里,最近当选美国总统的川普要躺枪了。在轻松友好的交流氛围中,Jayson 对雷锋网表示,他不支持川普,因为这个“更糟糕”。
于是,他在钓鱼邮件中,其实是邀请被攻击者参加抗议活动——政治是我们都关心的事!所以,十有八九要中招!
不过,Jayson 多次强调,这次演示的攻击并没有真实发生,因为邮件他没有发送出去。只是为了给大家展示:看,我能这么做,而且这么简单!
摸清攻击者的老底
还有一个重要问题是,攻击者为什么能这么迅速地收集信息?Jayson 把攻击者的老底摸清了。
我在这里给大家展示从攻击者角度怎么看,我不想给你们传播不好的东西,让你们恐惧,我们希望给大家普及这些只是之后,你们提高防范意识。
Jayson 先给大家打了预防针,意思是:不是教你去当攻击者!看看就好,预防第一。
先上技术网站找攻击工具,然后找一下攻击目标,比如,摄像头,防火墙薄弱的地方。而对于银行业,则可以在暗网等找到银行被贩卖的数据。
所以,下面雷锋网展示一下 Jayson “推荐”的攻击者必看信息。
1.攻击者常用工具
2.在哪里找被泄密的数据
3.找到网站架构的薄弱地带
知己知彼,反攻
知道攻击者将会如何开展行动后,Jayson 对企业和个人进行安全防护有以下重点建议。
1.至少每周要监测能搜到的“银行”的信息。
2.建议网站进行潜艇式构建——这个地方有问题,别的地方可以被保护,一个地方被攻击,其他地方还能工作,所以需要分段网络架构!
3.在网站上的沟通可以进行切割,不是所有人都需要有外部沟通的权限,有些沟通只要在局域网沟通。
4.利用各种工具检视现有网站受到攻击的可能。
5.关于网站上“你是谁”的代码名称是联系信息,把这个名字设置成非真实姓名,但贴上真实电话分机号,联系电话、邮箱分别设置不同名称。
6.为 1X1 单像素照片添加提醒链接,一般人不会点开这种图片看,只有攻击者才会利用这种图片来寻找突破口。
7.还应为用户代理字符串设置提醒。
8.如果可以,控制可以看到你的网站国家和地区,比如,一个地方性银行需要全世界的人来点击吗?预防攻击。
9.在你的职位列表上添加触发器/错误线索,违规操作立马就能知道。
10.不使用公司设备进行危险社交操作,如扫二维码。
11.对员工进行安全意识培训。
最后,需要再次声明的是, Jayson 演示的对企业、银行开展的攻击都是企业授权,读者盆友不要非法尝试,伸手必被捉。