安全專家闖入建築物以幫助加強防禦 - 彭博社

Margi Murphy

2023-02-16

一個帶有人臉識別技術的監控攝像頭於2019年9月10日星期二運行。

攝影師：Anindito Mukherjee/BloombergJenny Radcliffe闖入建築物並不意味着她是罪犯。她只是被付錢去像一個罪犯一樣思考。

Radcliffe是總部位於英國利物浦的人類因素安全諮詢公司的負責人，她的工作是在小偷、騙子或黑客之前找到客户的物理和計算機安全系統的漏洞。有時這意味着她的團隊在線上搜索客户的漏洞，試圖從毫不知情的員工那裏收集密碼和其他數據。但這也包括嘗試以任何可能的方式訪問公司情報，包括潛入禁止進入的辦公空間。

黑客繼續利用他們的智慧來瞄準受害者，人類的錯誤判斷在Verizon的2022數據泄露調查報告中佔82%的關鍵驅動因素。公司正在支付像Radcliffe這樣的人利用她的心理和觀察力，以及老式的盜竊策略，幫助他們堵住任何漏洞，以免壞人找到它們。

這意味着整夜整夜地搜尋辦公樓，尋找繞過保安的方法。有時，Radcliffe和她的團隊試圖通過坐在辦公地點附近的酒吧裏傾聽員工的談話來了解目標。她告訴我，這樣的觀察有助於她寫出更具説服力的釣魚郵件，並更好地融入其他員工。

這都是一個綜合安全觀的一部分，結合了數字保護和保護現實生活中的地點，”她説。

“實體進入仍然是滲透客户的一種非常有效的方式，在間諜活動中仍然被使用，”Radcliffe補充道。“如果我能帶着一台筆記本電腦走出去，我們就可以進入這枱筆記本電腦。”

她説，完成對客户整體安全性的分析可能需要長達兩週時間和一個由四名承包商組成的團隊，出於保密原因，她拒絕透露任何客户的姓名。她也沒有透露任何具體的費率，儘管如果她被客户的警犬追趕，那就是額外費用。

“社會工程師的關鍵技能是即興表演，”她説。“在那一刻，你必須能夠丟下文件，讓某人打開門，或者濺水讓保安放你進去。要做到這一點，你真的需要非常瞭解那家公司。”

她説，一個典型的策略是觀察員工何時使用捷徑或打開側門而不是主入口，然後嘗試那個入口。然後，Radcliffe試圖進入建築物的頂層。她説，員工不太可能質疑一個從樓梯下來而不是上去的陌生人。

一些客户給Radcliffe一個具體的目標，比如訪問特定的計算機或進入公司董事的辦公室。更常見的情況是進入一個辦公室看看會發生什麼。她告訴我，她發現了槍支、毒品和“總是”藏有酒精的地方。

“有證據表明存在工業間諜活動、浪漫聯絡和秘密商業交易，”Radcliffe説。“一些更不尋常的例子包括星球大戰主題服裝和一隻在辦公室裏遊蕩的活貓。”

大約在90分鐘左右，保安人員通常會發現有闖入者，Radcliffe説。

“我發現那時候你開始引起注意，”她補充道。

試圖闖入建築物是有風險的，即使是按照正確方式進行的人也是如此。2019年，愛荷華州警方逮捕了兩名被聘請潛入州司法建築物的安全專家。在安全公司Coalfire的員工觸發了法院警報後，警察將他們拘留，導致了一個持續數月的法律糾紛，直到檢察官撤銷了輕罪指控。

這樣的測試仍在繼續。

畢竟，無論是親自還是在線上的數據竊取，都是關於誘使某人做某事，正如Abnormal Security的威脅情報主管、前聯邦調查局特工Crane Hassold告訴我的那樣。

“如果你給某人發送一封電子郵件，説他們如果不通過這個鏈接驗證本週的工時就不會得到支付，我保證他們會點擊它，無論他們接受過多好的培訓，”他説。

本週我們學到了什麼

學者告訴我，國家媒體正在利用土耳其和敍利亞的悲劇性地震謀取自身利益。

俄羅斯國有控制的Twitter賬號正在展示莫斯科的人道主義援助，同時“抨擊美國和更廣泛的西方國家據稱阻礙了對土耳其和敍利亞人道主義援助的支持”，據安全民主聯盟的研究員喬·博德納稱。俄羅斯國有控制的RT頻道的一位主持人聲稱，西方國家試圖破壞國際救援工作。

2023年2月12日星期日，土耳其哈塔伊一家被摧毀的商業場所外的殘骸。攝影師：大衞·隆貝達/彭博社博德納發現，俄羅斯國有媒體和外交賬號在48小時內在超過1,200條推文中提到了“土耳其”、“敍利亞”或“地震”。俄羅斯的Sputnik土耳其和RT阿拉伯頻道比其他任何受監控的賬號更頻繁地發佈這些短語。

地震幫助這些通常表現不佳的賬號獲得更多關注者，博德納補充説。他説，在那段時間內，Sputnik土耳其是第二個被轉發次數最多的國有媒體賬號，獲得了超過1,300名關注者。這是不尋常的，因為Sputnik土耳其的賬號在1月1日至2月5日期間失去了超過2,700名關注者。

我們正在閲讀的內容

以色列承包商團隊聲稱通過使用黑客攻擊、破壞和虛假信息操縱了全球30多次選舉。

美國打撈行動正在從官員稱為中國監視氣球的“重要殘骸”中恢復物品。

朝鮮黑客勒索醫療機構，以資助進一步的網絡活動，根據華盛頓和首爾的説法。

**有罪：**一名俄羅斯商人策劃黑入美國網絡竊取內部信息，然後進行金融交易。

數據經紀人正在出售有關心理患者的敏感信息，監管不足。

一位意大利針織設計師正在銷售服裝旨在誤導依賴人工智能的監視。

這條來自Capable Design的Instagram帖子展示了一件部分設計用於欺騙AI識別系統的毛衣。勒索軟件攻擊 工業公司去年增加了87%，Dragos表示，儘管據報道發生了勒索活動的下降。

法官命令Facebook 和Gibson Dunn & Crutcher LLP支付近100萬美元，因為他們欺騙性地否認Facebook未經許可分享私人用户數據。

美國國税局仍然 沒有提供ID.me的替代方案，在一場關於面部識別技術的爭議一年之後。

美國和英國對與TrickBot黑客團伙有關的七名俄羅斯人實施制裁。

暗網收入去年急劇下降，在關閉了一個俄語市場之後。。

釣魚行動

在最近的一次採訪中，一位消息來源告訴我黑客如何利用現代汽車技術謀取私利。有一次，我為自己的二手2006年本田思域（今年只壞了三次）相對隱匿而感到高興。

你能黑進卡帶播放器嗎？請寄明信片回答。

**有新聞線索嗎？**您可以聯繫Jeff Stone，郵箱為[email protected]。Margi Murphy的郵箱是[email protected]，也可以通過Signal聯繫她，號碼為+1 (415) 254 3919。您還可以安全匿名地向我們發送文件，使用我們的SecureDrop。

安全專家闖入建築物以幫助加強防禦 - 彭博社

更多網絡安全即將到來

本週我們學到了什麼

我們正在閲讀的內容

釣魚行動

更多來自彭博社