MGM網絡攻擊顯示黑客如何利用社會工程學-彭博社

在許多方面，這是一次普通的對話。一個在IT幫助台工作的員工接聽了一個電話，自我介紹並問道，“這是關於新的工單還是現有的工單？”電話那頭的人聽起來像是一個二十多歲的美國人，解釋説他在登錄賬户時遇到了問題。“我不知道如何重置我的密碼，所以我打電話是為了今天重置密碼。” 電話那頭的人提供了他的名字，與在職員工的名字相符。

“賬户應該沒問題，”電話那頭的人補充道。“我的意思是，我沒有鎖定它，只是密碼問題。”

“明白了，”幫助台員工回答道。“是的，我可以幫你重置。”

就這樣，這位員工不知不覺地被Scattered Spider的一名成員欺騙了，一個臭名昭著的黑客團伙，據信是最近對 MGM度假村國際、 凱撒娛樂、Coinbase等進行攻擊的幕後黑手。（知情人士透露了通話的細節，但要求在討論機密事項時不透露姓名。）這個團伙，一些安全專家也稱之為UNC3944，擅長“社會工程”——這是欺騙某人提供可用於非法手段的信息的專業術語，比如入侵計算機網絡。在國家和大型企業正在抵禦高度複雜攻擊的時候，Scattered Spider的成功表明，基本的方法仍然有效且難以防禦。

在網絡安全公司Mandiant的首席技術官查爾斯·卡馬卡爾觀察到的一種模式是，幫助台電話呼叫符合這種模式。卡馬卡爾表示，他已經聽過一百多個Scattered Spider黑客的音頻錄音，試圖通過欺騙性電話呼叫來欺騙客服代表和IT工作者。他説，一些黑客“非常咄咄逼人”，讓呼叫中心的員工“感覺自己要被解僱或惹上麻煩”。

一旦黑客獲得立足點，他們通常會花費“相當長的時間”搜索文件、資源和內部聊天記錄，以找到提升權限並留在受害者網絡內的方法，Mandiant稱。

Scattered Spider於2022年出現，網絡安全公司Crowdstrike Holdings Inc.已將至少52起網絡攻擊歸因於該組織。據信，其成員位於美國和英國，有些年僅19歲。Coinbase Global Inc.的首席信息安全官傑夫·隆格霍弗表示，他多次遇到他懷疑是Scattered Spider的黑客。“他們是年輕、口才流利的男性，”他説。“反應迅速，甚至風趣。”

隆格霍弗詳細描述了懷疑是Scattered Spider的黑客向十幾名Coinbase員工的個人手機發送短信，提供一個虛假鏈接到公司門户，並敦促他們登錄以接收重要的公司消息。一名員工按照指示操作，無意中提供了黑客的用户名和密碼。由於Coinbase要求多重身份驗證，黑客無法進入員工的賬户。然而，一名黑客並未氣餒，不久之後打電話給了員工。聲稱自己是IT人員，黑客説服這個人提供了一些同事的聯繫方式。

沒有資金損失，也沒有客户信息在攻擊中泄露，公司表示。儘管如此，這是一個警示故事，正如Lunglhofer在2月17日的博客文章中指出的那樣。他寫道：“如果你認為自己不會被精心策劃的社會工程攻擊所愚弄 - 你在開玩笑。”

在年度Def Con黑客大會上，現在每年都會舉辦一場比賽，黑客專家們在一個隔音箱裏評判競爭團隊的社會工程能力，他們競相入侵一家公司。參賽者被告知他們的目標 - 今年的目標是一家著名的披薩連鎖店 - 並被給予兩個月的時間進行研究，包括查找電話號碼和有關公司技術系統的詳細信息。由IBM和總部位於加利福尼亞的安全公司Proofpoint贊助，比賽對倫理問題有嚴格的規定，包括不公開命名目標。使用威脅性語言並從員工那裏提取個人可識別信息也是被禁止的。

Def Con黑客大會上參賽者使用的隔音間。來源：Jason Puglisi在今年的比賽中，26歲的應用安全工程師Jason Puglisi，一名來自Block的員工，帶着一部加載有50頁報告的iPad走進了隔音間。他假裝是一名IT工作人員，通過説服接待員告訴他保安的輪班時間、如何更換安全徽章以及辦公室使用的技術來獲得分數。“每個人都是脆弱的，真的只需要在某人心情恰到好處或者他們感到有壓力的時候抓住他們，”他説。

有時候普格利西不得不偏離劇本，比如當他聯繫到的人説他們只是臨時填補，可能幫不了他。“當我告訴他們他們同樣可以幫助我的時候，他們感到受寵若驚，分享了我要求的一切，”他説。他在2022年獲得了比賽冠軍，之前曾獲得第二名。

普格利西在八月贏得Def Con比賽後。來源：DEF CON通訊公司和組織並非無法抵禦社會工程攻擊。David Bradbury，Okta Inc.的首席安全官，他的客户曾受到據信來自Scattered Spider的攻擊，建議呼叫中心限制重置高特權賬户密碼或多重身份驗證權限的員工數量，僅限於少數備受信任的員工。Coinbase的Lunglhofer表示，他的公司現在要求員工使用一種提供額外認證的小型USB類型安全設備登錄。

公司保護自身的另一種方式是對自身系統進行壓力測試。Scott Melnick是Bulletproof旗下的安全研究與開發部門負責人，該公司隸屬於Gaming Labs International，多年來一直為賭場和遊戲公司提供建議，涉及網絡安全和軟件開發。去年夏天，他成功侵入了一個賭場現金櫃台的計算機網絡，顧客在那裏領取獎金。另一次，他注意到一個賭場地板上收銀員櫃枱後面有一個以太網端口，趁沒人注意時插入了設備。

黑客可能利用這種訪問權限安裝一個微型設備，允許遠程訪問網絡，Melnick説。他最終被一個懷疑的收銀員揭露（他在報告中推薦她晉升）。Melnick説，讓員工對安全保持警惕很重要，公司應該讓外部人員測試他們的防禦措施，並讓員工保持警惕。“當員工知道這種情況發生時，他們會對每個電話都持懷疑態度，”他説。 —與 Katrina Manson**閲讀下一篇： 汽車盜竊案的增加讓專家尋找弱點