在網路上看到Twitter帳號被盜(或者該說被搶刧)的經歷兩則,共通點是受害者本身並無明顯資安過失(例如: 密碼過於簡單、多帳號共用密碼、被植入木馬後門或誤入釣魚網站等),攻擊者是經由社交工程對第三方廠商假冒身分取得敏感資訊或重設身分再進一步盜用帳號。自己沒有犯錯,卻因其他廠商失守而受連累聽來頗悲,讓我格外有興趣了解原委,整理摘要如下:

第一個案例來自Naoki Hiroshima,他擁有一個單字母Twitter帳號"N",曾有人喊價$50,000美金收購。這個珍貴的帳號時常引來覬覦,收到試圖重設密碼的Email猶如家常便飯,但在今年1/20帳號正式被勒索搶走。歹徒的手法是先假冒PayPal員工(acting as an employee)打電話從PayPal人員口中問到Naoki的信用卡號末四碼,接著再打給GoDaddy客服謊稱自己是Naoki想重設DNS管理密碼,信用卡掉了但記得最後四碼,由於GoDaddy需要提供六碼信用卡號驗證身份,結果客服超貼心,允許玩猜猜看補足缺少的兩碼,讓歹徒順利猜中6碼取得DNS管理權。由於Naoki註冊Twitter、Facebook... 等都是用自己網域名稱的Email信箱,DNS被刧,Email Server(MX)被改指向對方控制的主機,意味著對方已能在各網站重設密碼並接收郵件修改密碼。Naoki雖然及時改掉Twitter的註冊信箱,但對方經由控制DNS掌握住其餘帳號的密碼修改權,已具有摧毁Naokia網站的能力,藉此要脅Naoki讓出@N。Naoki打電話向GoDaddy報告此一緊急狀況,GoDaddy要求提供信用卡最後6碼驗證身分,但卡號及個資早被歹徒竄改,主人反而無法證明是本人,替代解決方案是遞交政府簽發文件證明身分,伹流程需要48小時。最後,Naoki屈服,讓出Twitter @N帳號(將@N改成@N_is_stolen),換回DNS及其他帳號的管理權,並保住經營網站的線上資料。

Naoki的心得: 1) 不要用自訂網域Email當作註冊信箱,一旦DNS被偷,身分也會連帶被偷走 2) 把DNS MX的TTL設久一點,如果當初設成一週而非1小時,DNS被偷走後就還有七天寬限期足以應變(當然,此舉會造成DNS更新延遲生效的副作用) 3) 盡可能使用兩階段式登入(密碼+簡訊),雖然在本案例中不見得管用。

第二個案例來自HACKTICOOL,他在Twitter及Instagram用的@jb帳號更值錢(號稱值$500,000,主要是沾Justin Bieber小賈斯汀的光)。歹徒的手法是先由DNS註冊資訊取得郵寄地址,憑著這一丁點資料向Amazon線上購物客服佯稱遺失密碼且無法用原信箱收發信,結果客服信了,在電話裡就依要求人工重設密碼。接著歹徒登入Amazon取得信用卡號後四碼、住家地址等資訊,再打電話向Apple客服要求重設密碼。幸運的是,HACKITCOOL及時以電話通知Amazon及Apple客服鎖住帳號,並將帳號註記為不允許透過電話變更,阻止進一步攻擊才保住Twitter帳號。

以上兩個案例都是走社交工程攻擊路線,PayPal員工被人假冒員工騙走客戶信用卡末四碼、GoDaddy客服允許只記得四碼信用卡號的客戶玩猜猜看試出六碼、Amazon客服只憑著郵寄地址個資就誤信歹徒,透過電話幫忙重設密碼。這裡面沒看到精巧的駭客程式或技巧,純粹瞄準人性弱點及不夠嚴謹的SOP加以突破,就算個人防毒防駭做得再精實,資安防線因為其他人(豬隊友?)的漏洞照樣全盤皆輸。說實在的,除了提高警覺遇異常訊號要儘速反應(一刻都不得鬆懈,好累!),我也想不到一勞永逸的解決方法。懷念以前Internet初起,民風純樸到SMTP不必防垃圾信、FTP密碼用明碼傳也無妨的年代~


Comments

# by 路過

看起來苦主應該把帳號拿回來了.... 不果有聽過為了安全, 網站註冊資料亂打的....(ex:身分證產生器) 那就整個GG~~

Post a comment