懒人听书,玄幻小说排行榜,小说改编的网页游戏

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

Doxing攻擊除了可以“人肉”個(gè)人外，還可以對(duì)企業(yè)造成不可估量的影響

互聯(lián)網(wǎng)使得人們很容易找到公開(kāi)的信息, 比如固定電話號(hào)碼或者郵寄地址。一旦你知道了某個(gè)人的名字，你不會(huì)再去翻長(zhǎng)長(zhǎng)的電話簿，網(wǎng)站搜索早就替代了這些。但doxxing遠(yuǎn)不止能得到這些“概要信息”。使用doxing的攻擊者往往會(huì)向公眾揭示你的真實(shí)身份或某些隱私信息，如私人住址、電話號(hào)碼、社保號(hào)，甚至是孩子們和信用卡的一些信息。

創(chuàng)新互聯(lián)是一家以網(wǎng)絡(luò)技術(shù)公司，為中小企業(yè)提供網(wǎng)站維護(hù)、成都網(wǎng)站制作、成都做網(wǎng)站、網(wǎng)站備案、服務(wù)器租用、主機(jī)域名、軟件開(kāi)發(fā)、成都微信小程序等企業(yè)互聯(lián)網(wǎng)相關(guān)業(yè)務(wù)，是一家有著豐富的互聯(lián)網(wǎng)運(yùn)營(yíng)推廣經(jīng)驗(yàn)的科技公司，有著多年的網(wǎng)站建站經(jīng)驗(yàn)，致力于幫助中小企業(yè)在互聯(lián)網(wǎng)讓打出自已的品牌和口碑，讓企業(yè)在互聯(lián)網(wǎng)上打開(kāi)一個(gè)面向全國(guó)乃至全球的業(yè)務(wù)窗口：建站來(lái)電聯(lián)系：18982081108

這就有點(diǎn)像身份盜竊一樣了。通過(guò)doxxing獲取某些不為人知的信息的人，總會(huì)不擇手段地去挖掘一切。比如跟蹤目標(biāo)的社交媒體檔案、尋找寵物的名字、甚至是婚前姓名或其他可能用來(lái)猜測(cè)密碼或回答安全驗(yàn)證問(wèn)題的線索。然而, 與身份盜竊不同的是, 這種行為的目的通常是報(bào)復(fù)、騷擾或羞辱, 而不是簡(jiǎn)單地圖財(cái)。因?yàn)橐坏┦芎φ叩膫€(gè)人信息被公開(kāi), 就不知道其他互聯(lián)網(wǎng)用戶會(huì)對(duì)他們做些什么了。

"Doxxing"也可以拼作"doxing", 它指的是利用互聯(lián)網(wǎng)發(fā)布和收集個(gè)人和私人信息, 然后在網(wǎng)上公布這些信息(也就是我們通常所理解的“人肉”)。這個(gè)詞源自"文件"這個(gè)詞, 它是"dropping dox"的縮寫, 這種報(bào)復(fù)方法可以追溯到上世紀(jì)90年代初的黑客文化。

然而，當(dāng)doxing的攻擊對(duì)象是企業(yè)部門時(shí)，攻擊者受到攻擊成本的阻礙較少，因?yàn)闈撛诘慕鹑诨貓?bào)要大得多。為了收集盡可能多的公司機(jī)密信息，攻擊者在攻擊個(gè)人用戶時(shí)使用了比以前更多樣化的方法，我們將在本文中討論這些方法。

從公開(kāi)來(lái)源收集有關(guān)公司的信息

攻擊者可以采取的第一個(gè)也是最簡(jiǎn)單的方法就是從可公開(kāi)訪問(wèn)的來(lái)源收集數(shù)據(jù)，互聯(lián)網(wǎng)可以為攻擊者提供各種有用的信息，例如員工的姓名和職位，包括在公司中擔(dān)任重要職位的員工。這些關(guān)鍵職位包括首席執(zhí)行官、人力資源部總監(jiān)和總會(huì)計(jì)師。

例如，如果LinkedIn顯示公司的首席執(zhí)行官與總會(huì)計(jì)師或人事部門負(fù)責(zé)人是“朋友”，而這些人也與他們的直接下屬是朋友，那么攻擊者只需要知道他們的個(gè)人姓名即可輕松確定公司的層次結(jié)構(gòu)，并使用此信息進(jìn)行后續(xù)攻擊。

在諸如Facebook等不那么專業(yè)的社交網(wǎng)站上，許多用戶會(huì)顯示他們的工作地點(diǎn)，也會(huì)發(fā)布大量的個(gè)人信息，包括休閑照片和他們?nèi)ミ^(guò)的特定餐館和健身房。你可能認(rèn)為這類信息對(duì)于攻擊公司來(lái)說(shuō)是無(wú)用的，因?yàn)檫@些個(gè)人信息實(shí)際上與公司無(wú)關(guān)，也不包含可能危害公司或帳戶所有者的數(shù)據(jù)。但是，通過(guò)后面的講解，你會(huì)驚訝地發(fā)現(xiàn)這些信息對(duì)于攻擊者真的有多大用處。

使用可公開(kāi)訪問(wèn)的數(shù)據(jù)進(jìn)行的攻擊：BEC

員工的個(gè)人信息實(shí)際上可以用來(lái)設(shè)置BEC攻擊，BEC (Business E-mail Compromise)是一種針對(duì)企業(yè)部門的有針對(duì)性的攻擊，攻擊者通過(guò)偽裝成不同的員工(包括他們的上級(jí))或合作伙伴公司的代表，開(kāi)始與某個(gè)組織的員工進(jìn)行電子郵件通信。攻擊者這樣做是為了在最終說(shuō)服受害者執(zhí)行某些操作(如發(fā)送機(jī)密數(shù)據(jù)或?qū)①Y金轉(zhuǎn)移到攻擊者控制的賬戶)之前獲得受害者的信任。最新發(fā)布的《2020年互聯(lián)網(wǎng)犯罪報(bào)告》顯示，商業(yè)電子郵件泄漏(BEC)詐騙2020年給企業(yè)造成的損失超過(guò)18億美元。根據(jù)FBI公布的統(tǒng)計(jì)結(jié)果，BEC攻擊造成的損失比勒索軟件造成的損失嚴(yán)重64倍。

報(bào)告顯示，2020年美國(guó)聯(lián)邦調(diào)查局接獲的投訴和經(jīng)濟(jì)損失金額創(chuàng)下新高，互聯(lián)網(wǎng)犯罪投訴中心(IC3)去年收到791,790宗投訴，較2019年增長(zhǎng)69%，造成超過(guò)40億美元的損失。

盡管勒索軟件往往在網(wǎng)絡(luò)犯罪的頭條新聞中占據(jù)主導(dǎo)地位，但是與商業(yè)電子郵件欺詐造成的損失相比卻是小巫見(jiàn)大巫。雖然大多數(shù)投訴是針對(duì)網(wǎng)絡(luò)釣魚(yú)，未付款/未送達(dá)詐騙和勒索，但大約一半的損失是由商業(yè)電子郵件欺詐(BEC)、信任詐騙以及投資欺詐造成的。

Agari威脅研究高級(jí)總監(jiān)Crane Hassold說(shuō)?！袄账鬈浖亲钍苊襟w關(guān)注的話題，但僅占網(wǎng)絡(luò)犯罪損失的1%。BEC占去年所有網(wǎng)絡(luò)攻擊損失的37%。這是一個(gè)令人發(fā)指的數(shù)字。鑒于‘欺騙’可能是BEC的一部分，因此總損失額接近21億美元?！?/p>

攻擊者一般通過(guò)魚(yú)叉式釣魚(yú)、社會(huì)工程學(xué)、惡意軟件等方式實(shí)施攻擊。他們會(huì)提前做足了功課，了解受害者的基本信息，對(duì)高管了如指掌，同時(shí)了解公司的組織架構(gòu)和匯報(bào)流程機(jī)制等。明白針對(duì)誰(shuí)，冒充誰(shuí)，怎么說(shuō)，什么時(shí)候說(shuō)等，攻擊者可以把郵件騙局編造得天衣無(wú)縫、真實(shí)可信，受害者們很難發(fā)現(xiàn)和識(shí)破。

比如在一家大公司的個(gè)人主頁(yè)上，一名員工發(fā)布了一張?zhí)煺鏌o(wú)邪的海景照片，并評(píng)論說(shuō)他還有三周的假期。幾天后，公司會(huì)計(jì)部門的郵箱收到一封來(lái)自休假員工的電子郵件，要求將他的工資存入另一家銀行的一張卡上。郵件發(fā)送者要求他們盡快處理這件事，并解釋說(shuō)他不能接任何電話，因?yàn)樗×?，不能講電話。

帶有已更改銀行詳細(xì)信息的BEC攻擊

毫無(wú)戒心的會(huì)計(jì)師會(huì)要求用戶發(fā)送他的新銀行詳細(xì)信息，在收到這個(gè)新的銀行信息后，會(huì)計(jì)更改了員工在系統(tǒng)中的數(shù)據(jù)，一段時(shí)間后付款就會(huì)發(fā)送到新的銀行賬戶。

BEC攻擊是一種收集數(shù)據(jù)的手段

但是，正如前面提到的，BEC攻擊也可以針對(duì)獲取機(jī)密信息。根據(jù)雇員的職位或攻擊者所假冒的合作伙伴的重要性，他們可以獲得相當(dāng)敏感的文件，如合同或客戶數(shù)據(jù)庫(kù)。此外，攻擊者可能不局限于一次攻擊，而是可以利用任何獲得的信息來(lái)追求更大的目標(biāo)。

泄漏的數(shù)據(jù)

出于粗心或出于惡意目的而最終進(jìn)入公共領(lǐng)域的機(jī)密文件，這也可以幫助攻擊者收集公司的信息。在過(guò)去幾年中，與存儲(chǔ)在云中的數(shù)據(jù)相關(guān)的數(shù)據(jù)泄漏事件顯著增加。由于亞馬遜AWS簡(jiǎn)單云存儲(chǔ)系統(tǒng)(AWS S3)的廣泛普及以及其配置的簡(jiǎn)單性，大多數(shù)此類違規(guī)行為都發(fā)生在亞馬遜AWS簡(jiǎn)單云存儲(chǔ)系統(tǒng)(AWS S3)上，而不需要任何信息安全方面的特殊知識(shí)。這種簡(jiǎn)單性最終會(huì)給AWS中被稱為“存儲(chǔ)桶”的文件存儲(chǔ)庫(kù)的所有者帶來(lái)危險(xiǎn)，因?yàn)殄e(cuò)誤的系統(tǒng)配置經(jīng)常會(huì)破壞這些文件存儲(chǔ)庫(kù)。例如，2017年7月，由于存儲(chǔ)桶配置不正確，導(dǎo)致1400萬(wàn)Verizon用戶的數(shù)據(jù)被泄漏。

跟蹤像素

攻擊者可能會(huì)利用各種技術(shù)手段來(lái)獲取與他們特定目標(biāo)相關(guān)的信息。其中一種技巧是傳播包含跟蹤像素的電子郵件，這些跟蹤像素通常偽裝成某種類型的“測(cè)試”消息。這種技術(shù)使攻擊者能夠獲得諸如電子郵件打開(kāi)的時(shí)間、收件人郵件客戶機(jī)的特定版本和IP地址等數(shù)據(jù)，這些數(shù)據(jù)可以幫助找到收件人的大致位置。利用這些信息，網(wǎng)絡(luò)罪犯可以在特定的人身上建立個(gè)人檔案，然后他們可以在隨后的攻擊中冒充這個(gè)人。具體來(lái)說(shuō)，如果騙子知道員工的日常日程和時(shí)區(qū)，他們就可以選擇最理想的時(shí)間進(jìn)行攻擊。

這是一個(gè)通過(guò)使用跟蹤像素進(jìn)行doxing的例子，在這個(gè)例子中，一家大公司的首席執(zhí)行官接收到所謂的“測(cè)試消息”。

包含跟蹤像素的測(cè)試消息示例

消息從不同的域在不同的時(shí)間到達(dá)。有些是在工作日的高峰期出現(xiàn)的，有些是在深夜出現(xiàn)的。后者上任后幾乎立即由公司首席執(zhí)行官開(kāi)放。這些“測(cè)試消息”繼續(xù)到達(dá)大約一個(gè)星期，然后突然停止。 CEO認(rèn)為這是個(gè)玩笑，很快就忘記了。但是，很快發(fā)現(xiàn)該公司已將數(shù)百萬(wàn)美元轉(zhuǎn)至一家外部公司的地址。調(diào)查顯示，有人聲稱自己是首席執(zhí)行官，他已經(jīng)發(fā)送了幾封電子郵件，要求公司會(huì)計(jì)師立即為外部公司提供的服務(wù)付費(fèi)。這種情況與BEC攻擊的一種變體(稱為CEO欺詐攻擊)相匹配，在這種攻擊中，攻擊者冒充組織的高級(jí)管理人員。

用于發(fā)起CEO欺詐攻擊的電子郵件示例

在這個(gè)場(chǎng)景中，攻擊者通過(guò)使用包含跟蹤像素的“測(cè)試消息”來(lái)查找目標(biāo)的工作時(shí)間表，他們不僅將該消息發(fā)送給CEO，還將其發(fā)送給特定的會(huì)計(jì)員工。然后，他們可以在首席執(zhí)行官無(wú)法聯(lián)系到但會(huì)計(jì)部門已經(jīng)在線的理想時(shí)間請(qǐng)求代表首席執(zhí)行官轉(zhuǎn)移一筆大筆資金。

網(wǎng)絡(luò)釣魚(yú)

盡管電子郵件網(wǎng)絡(luò)釣魚(yú)和其他惡意攻擊看似簡(jiǎn)單，但它們?nèi)匀皇蔷W(wǎng)絡(luò)罪犯用來(lái)收集公司數(shù)據(jù)的一些主要工具，這些攻擊通常遵循標(biāo)準(zhǔn)方案。

公司員工的電子郵件地址接收的消息模仿了來(lái)自SharePoint等業(yè)務(wù)平臺(tái)的典型通知，這些消息緊急地要求員工按照鏈接閱讀重要文檔或執(zhí)行其他一些重要操作。如果員工真的遵循了這封電子郵件的建議，他們最終會(huì)進(jìn)入一個(gè)包含欺詐性表單的網(wǎng)站，以輸入他們的公司帳戶憑證。如果員工試圖登錄這個(gè)虛假資源，該登錄信息將最終落入網(wǎng)絡(luò)釣魚(yú)騙子的手中。如果一個(gè)業(yè)務(wù)平臺(tái)不僅可以從公司網(wǎng)絡(luò)內(nèi)部訪問(wèn)，而且可以從公司網(wǎng)絡(luò)外部訪問(wèn)，那么攻擊者就可以使用員工的賬戶登錄該資源，并收集他們需要的信息。

網(wǎng)絡(luò)釣魚(yú)電子郵件示例，要求員工按照鏈接閱讀傳真留言

針對(duì)組織發(fā)起的第一波攻擊也可能是旨在劫持員工個(gè)人賬戶的網(wǎng)絡(luò)釣魚(yú)策略，許多用戶在社交網(wǎng)絡(luò)上是與同事的“朋友”，并在受歡迎的Messenger中與他們保持聯(lián)系，其中可能包括有關(guān)工作相關(guān)問(wèn)題的討論。通過(guò)訪問(wèn)員工的帳戶，網(wǎng)絡(luò)罪犯可以巧妙地誘使員工的聯(lián)系人泄漏公司信息。

幸運(yùn)的是，大多數(shù)安全產(chǎn)品都能迅速檢測(cè)到簡(jiǎn)單的群發(fā)電子郵件釣魚(yú)，而且越來(lái)越多的用戶開(kāi)始意識(shí)到這類攻擊。然而，攻擊者正在求助于更先進(jìn)的攻擊方式，比如通過(guò)電話進(jìn)行網(wǎng)絡(luò)釣魚(yú)來(lái)獲取數(shù)據(jù)。

手機(jī)網(wǎng)絡(luò)釣魚(yú)

網(wǎng)絡(luò)釣魚(yú)和典型網(wǎng)絡(luò)釣魚(yú)攻擊之間的主要區(qū)別在于，攻擊者誘使受害者通過(guò)電話而不是通過(guò)網(wǎng)絡(luò)釣魚(yú)網(wǎng)頁(yè)向他們提供機(jī)密信息。他們還可能使用各種方法與受害者建立聯(lián)系。例如，如果員工聯(lián)系人數(shù)據(jù)庫(kù)最終落在他們的手中，他們可以直接致電特定員工或在整個(gè)公司周圍打電話，或者他們可以傳播電子郵件，要求員工致電特定號(hào)碼。后一個(gè)示例更有趣，因此我們將詳細(xì)討論該方法。

讓我們研究一下這種攻擊的潛在場(chǎng)景，公司員工收到來(lái)自假冒大型服務(wù)提供商(例如Microsoft)發(fā)來(lái)的電子郵件，該電子郵件被專門設(shè)置為正式郵件。該消息包含要求受害者快速做出決定的信息。攻擊者還可能試圖恐嚇接收者。下面的示例說(shuō)明從受害人的計(jì)算機(jī)訪問(wèn)了兒童色情內(nèi)容。為了解決此問(wèn)題，攻擊者要求員工以特定號(hào)碼聯(lián)系技術(shù)支持。如果受害者實(shí)際撥打了特定的電話號(hào)碼，那么攻擊者可能會(huì)冒充Microsoft技術(shù)支持人員，并欺騙受害者以泄漏其用戶名和密碼，以訪問(wèn)公司的內(nèi)部系統(tǒng)。

發(fā)起電話網(wǎng)絡(luò)釣魚(yú)攻擊的電子郵件示例

攻擊者通常冒充技術(shù)支持人員或公司IT部門的代表來(lái)贏得員工的信任。這正是2020年夏天Twitter被黑客攻擊時(shí)使用的技術(shù)。

來(lái)自Twitter支持的有關(guān)事件的消息

能夠進(jìn)入公司內(nèi)部系統(tǒng)的Twitter員工接到了據(jù)稱來(lái)自IT部門的電話，在這些對(duì)話中，攻擊者利用社會(huì)工程技術(shù)不僅進(jìn)入了公司的內(nèi)部網(wǎng)絡(luò)，而且還使用了使他們能夠管理Twitter用戶賬戶的工具。結(jié)果，許多名人的頁(yè)面上都出現(xiàn)了虛假信息，向讀者承諾，如果他們轉(zhuǎn)移到特定的比特幣錢包，他們將收到雙倍的金額。

Twitter上的騙局消息示例

個(gè)別員工的行為

傳統(tǒng)的黑客行為包括收集特定個(gè)人的數(shù)據(jù)，也可能被用于針對(duì)一個(gè)組織的更大規(guī)模的攻擊。正如我們前面提到的，攻擊者可以根據(jù)從社交網(wǎng)絡(luò)上可公開(kāi)訪問(wèn)的帖子中獲得的特定信息使用BEC攻擊。然而，這并不是doxing的唯一潛在的攻擊行為，特別是在有針對(duì)性的數(shù)據(jù)收集案例中，攻擊者不局限于公開(kāi)可用的數(shù)據(jù)源，而是實(shí)際上為了獲得對(duì)私有內(nèi)容的訪問(wèn)而入侵受害者的帳戶。

身份盜竊

針對(duì)個(gè)別員工的doxing行為的結(jié)果之一可能是竊取他們的身份，在盜用身份的情況下，攻擊者可能會(huì)傳播虛假信息，導(dǎo)致公司聲譽(yù)受損，有時(shí)甚至造成經(jīng)濟(jì)損失，特別是如果這些信息是由高級(jí)員工提供的，其聲明可能會(huì)引發(fā)嚴(yán)重的丑聞。

讓我們來(lái)假設(shè)一種涉及身份盜竊的潛在攻擊場(chǎng)景，在這個(gè)場(chǎng)景中，攻擊者在一個(gè)經(jīng)理尚未注冊(cè)的社交網(wǎng)絡(luò)(如Clubhouse)上為其目標(biāo)公司的高級(jí)經(jīng)理創(chuàng)建一個(gè)虛假賬戶。該賬號(hào)參與大量用戶的討論，不斷發(fā)表挑釁性言論，并最終被媒體報(bào)道。結(jié)果，公司股票可能會(huì)貶值，潛在客戶開(kāi)始傾向于公司的競(jìng)爭(zhēng)對(duì)手。

本文翻譯自：https://securelist.com/corporate-doxing/101513/

網(wǎng)頁(yè)標(biāo)題：Doxing攻擊除了可以“人肉”個(gè)人外，還可以對(duì)企業(yè)造成不可估量的影響
本文網(wǎng)址：http://m.fisionsoft.com.cn/article/dpcohoh.html