吳明宜有時駭客也會犯錯,像是把好不容易竊來的用戶帳密放在公開伺服器上,讓所有人都能以Google搜尋、分一杯羹。
駭客竊取企業用戶帳密是為了有利可圖,像是集結起來賣給其他駭客。不過有時駭客也會犯錯,像是把好不容易竊來的用戶帳密放在公開伺服器上,讓所有人都能以 Google 搜尋、分一杯羹。
安全廠商 Checkpoint 近日調查一宗 8 月起流傳的釣魚信件攻擊。該釣魚信件偽裝成知名企業,傳給了大量用戶。
信件為很典型的攻擊手法,內容為由惡意 HTML 檔,看似來自 Xerox 或 Xeros,點入信件附檔會跳出一個訊息,宣稱是有密碼防護的 Office 365 檔案,需要使用者輸入才能開啟。一旦使用者輸入帳密,就會被蒐集帳號密碼。研究人員分析有近 500 筆無辜受害者被取得 Office 365 帳密。
Checkpoint 分析,駭客是先駭入數十個知名公司網站的 WordPress 伺服器,將惡意郵件 PHP 網頁發送到受害者信箱,並將受害者輸入的帳密儲存在這些 WordPress 網站上。這作法也合理,因為這些網站的高知名度也使其發送的釣魚信件較不容易被過濾掉。事實上,60 多個安全產品都未能掃瞄辨識出這個釣魚信件。
但研究人員指出,駭客犯的唯一一個錯誤是將這些資料存在可被 Google 或其他搜尋引擎索引的檔案中,以致於任何人可以透過 Google 搜尋到這些被竊電子郵件信箱和密碼。這一名駭客等於是將自己辛苦的成果免費讓其他駭客享用。
分析這名駭客蒐集的資訊,Checkpoint 判斷最主要受害產業是營建業、能源、 IT 業,所幸這些密碼可能也不是全然是真實帳密。但研究人員指出,這再度顯示,只要有心,網路上真的隨時可以找到被竊的密碼,也突顯定期變更密碼或使用無密碼、多因素驗證 (MFA) 的重要性。
來源:Ars Technica