我原本一直認為自己對釣魚攻擊比較有防范意識。在釣魚攻擊中，攻擊者會創(chuàng)建一個與受害者經(jīng)常使用的系統(tǒng)一模一樣的登錄頁面，用來欺騙他們以獲取用戶名和密碼。相比之下，經(jīng)驗不足的Web用戶非常容易遭受這種攻擊，因為他們不能很好的理解Web工作原理，所以幾乎無法分辨網(wǎng)頁的真?zhèn)巍?/p>

大約10天前，一個或一群自稱敘利亞電子軍(SEA)的黑客對《金融時報》進行了一場非常有針對性的網(wǎng)絡(luò)攻擊。我們并不是他們攻擊的第一個目標，事實上在我寫這篇文章過程中，我們甚至就已經(jīng)擺脫“最新被攻擊目標”的稱號了。但是這次攻擊給我上了很重要的一課，針對一個大型公司的攻擊并不是隨機發(fā)送讓你重置PayPal賬戶那樣的欺詐郵件，它們通過精心的偽裝，往往難辨真假。這些發(fā)送到《金融時報》的電子郵件成功盜取了我們公司的Google賬戶，這其中便有我的。

事情是這么發(fā)生的

5月14號，一些包含釣魚網(wǎng)站鏈接的電子郵件，從外部的郵件帳戶發(fā)到金融時報。其中有些來自金融時報員工的個人賬戶，這表明這些員工本身已經(jīng)被攻擊了，但那并非是為了攻擊金融時報而進行的攻擊。郵件中會包含一個鏈接，它看起來像是CNN.com上的一篇文章，但實際卻鏈接到一個已經(jīng)被黑掉的WordPress網(wǎng)站(這個網(wǎng)站相當知名，但在這里指出他們的名字并不合適，而且他們已經(jīng)修復了問題)。這個站點有一個名為ft.php的文件。因為郵件是HTML格式，它可以鏈接到一個與顯示并不相同的URL，所以這個鏈接實際鏈接地址并不是看起來的那樣。 

 

被黑的WordPress網(wǎng)站會將用戶重定向到googlecom.webege.com下的一個頁面，這個頁面看起來與我們公司的電子郵箱登錄界面一樣(金融時報使用谷歌應(yīng)用作為內(nèi)部電子郵件系統(tǒng))。

如果你提交了googlecom.webege.com上的表單，數(shù)據(jù)首先會發(fā)送到相同主機上的PHP腳本，然后它將你登錄到真正的谷歌帳戶并重定向至Gmail的頁面，這樣你就被欺騙了。我們設(shè)法使腳本產(chǎn)生錯誤，這些錯誤信息表明它會使用你Google帳戶的數(shù)據(jù)作為命令行參數(shù)來執(zhí)行一個shell命令。同時我們將這個網(wǎng)站報告給了網(wǎng)絡(luò)服務(wù)商，在當天晚些時候，他們將這個網(wǎng)站撤下來了。

通過攻擊那些公開自己電子郵件地址的金融時報員工，黑客最終設(shè)法獲取了一個FT.com企業(yè)電子郵件帳戶權(quán)限。通過該郵箱他們同樣也獲取了我們的全球地址列表和金融時報每個員工的電子郵件地址。他們開始發(fā)送相同的電子郵件給更多的FT.com用戶，不過這一次郵件來自合法的FT.com電子郵件帳戶。

我們的IT支持團隊已經(jīng)收到了釣魚網(wǎng)站的舉報，并向全體員工發(fā)出警告讓其忽略釣魚郵件，同時暫停了已知的被盜帳戶。不幸的是，被黑帳號收件箱中的警告信息也給了黑客二次釣魚的機會，他們利用我們的IT服務(wù)臺警告消息調(diào)整了攻擊郵件，利用警報和人們面對攻擊時的安全期望心理來釣更多的受害者： 

 

此時，我們收到一封電子郵件，它使用真實的金融時報內(nèi)部用語，來自真正的FT.com電子郵件地址，它要求用戶登錄并修改他們的密碼，同時帶有一個我們在金融時報使用的郵件系統(tǒng)的登錄鏈接。

最終，谷歌將這個URL列入了黑名單，釣魚鏈接才停止傳播。后續(xù)帶有這個鏈接的電子郵件將被系統(tǒng)退回。但是通過利用盜取的帳戶，黑客已經(jīng)完成了我們博客平臺上有效帳戶的密碼重置，同時也獲得了我們許多Twitter帳戶的權(quán)限。這是當我們看到SEA的內(nèi)容通過金融時報發(fā)布時才意識到的————其中一些還是以我的名義發(fā)布的。

開發(fā)人員可能會認為他們不會被這些欺騙————我原來也這么想。我收到釣魚郵件后，點擊了鏈接，但隨即就意識到這個釣魚頁面是做什么的，我沒有填寫表單而是進行了舉報。也許我一直打開著那個釣魚網(wǎng)站的標簽，當切換標簽時沒有注意到URL而無意中登錄了，我想這一定是我賬號被盜的案例中發(fā)生的。

我們的回應(yīng)

我們的運營和開發(fā)團隊使用了一款名為Splunk的工具進行近乎實時地收集和分析日志。谷歌也為我們提供了可以訪問他們那邊日志的溝通小組。我們開始對攻擊流量的模式和識別特征構(gòu)建記錄。當黑客繼續(xù)嘗試并訪問系統(tǒng)時，我們可以用更高的精度跟蹤他們。

同時，我們采取了如下行動來鎖定系統(tǒng)并取回控制權(quán)：

我們對IP進行過濾，以限制對金融時報內(nèi)網(wǎng)系統(tǒng)的訪問。

被盜的Google賬戶全部被谷歌停用。

Twitter鎖定了我們所有的Twitter賬戶，并更換了證書。

我們啟用了更積極的措施以提醒我們可疑的登錄嘗試。#p#

安全教訓

Twitter(我們的許多賬號)和WordPress(約2~60個博客)，只有這兩個系統(tǒng)(除了谷歌電子郵件帳戶外)的賬號被盜。Twitter和WordPress可能是在金融時報最廣泛且公開訪問使用的兩個工具，所以針對它們的攻擊并不奇怪。隨著時間的推移，越來越多的公司采用相同的在線工具，這使得問題可能會變得更糟————如果其中一個工具的漏洞被發(fā)現(xiàn)，它可以被用來對付所有使用它的人————這增加了黑客挖掘漏洞的動機。

另一方面，采用廣泛使用的工具也是一件好事。切換到谷歌帳戶(金融時報在去年完成)讓我們獲取了良好設(shè)計的雙因素身份認證系統(tǒng)和自動安全檢查，它提供了更強大的防御能力。從某種意義上說，也許會有更多的人“找上門來”，但門更加牢固。不幸的是，上周五我們將它虛掩著?，F(xiàn)在我們積極在整個組織中采用雙因素身份認證，并強制任何可能成為攻擊對象的人員使用它。就我個人而言，我希望我們能夠盡快實現(xiàn)100%的雙因素身份認證。

設(shè)定了更為嚴格的安全標準后，我們現(xiàn)在也在重新審計所有允許不受信任的用戶授權(quán)訪問金融時報技術(shù)資源的認證點，更加積極的減少甚至消除不是絕對必要的權(quán)限，通過對安全標準設(shè)定更加清晰的期望來教育和幫助用戶，提高攻擊發(fā)生時的檢測和響應(yīng)速度。我們躊躇滿志的認為自己能關(guān)閉所有潛在的漏洞，并且迅速和果斷的回應(yīng)是阻止攻擊的第二好方法。

大型組織尤其是媒體公司總是容易遭受網(wǎng)絡(luò)攻擊————攻擊范圍很大，而且攻擊者只需找到盔甲上一個微小的裂縫。我們很不幸的成為了在最近幾周遭受類似攻擊的杰出機構(gòu)名單的一員：美聯(lián)社，洋蔥新聞，天空新聞，英國廣播公司，衛(wèi)報，短短幾天后每日電訊報也被攻擊了。

一切都結(jié)束了嗎?

不盡然。實際上我們相當熟悉自稱為SEA的黑客或黑客群體，因為我們報道過幾次他們反對媒體機構(gòu)的活動。我們在阿布扎比的同事其實與該組織的官方Twitter取得過聯(lián)系，并通過電子郵件進行了采訪，這些采訪我們也發(fā)布過。

在金融時報遭受攻擊后，我們再次與他們?nèi)〉寐?lián)系，并從他們發(fā)言人得到如下答復(內(nèi)容未編輯)：

是的，我們確實黑掉了金融時報并利用它發(fā)布了一些被所有主流媒體忽略的信息。為了支持分布在各地的組織和考文垂的敘利亞人權(quán)觀察委員會，敘利亞造反派的血腥天性被刻意忽視。所有的暴力事件都歸咎于敘利亞軍，而它不過是捍衛(wèi)自己的領(lǐng)土。

金融時報沒有太多西方媒體的偏見，所以我們的攻擊很弱。我們認為讓有金融意識的讀者了解他們的政府為造反派提供資金的后果很重要。我們很反感威廉.黑格和戴維.卡梅倫最近的4000萬英鎊撥款,這是以推動我國的滅亡和毀滅來獲得政治特權(quán)。這就是恐怖主義，我們在對天空新聞攻擊中的證據(jù)表明FCO直接參與了對造反派的資金支持和武器采購。我們所接觸過的媒體都不愿意報道這個，所以我們別無選擇，只能將事態(tài)控制在我們自己的手中。

我們沒有進一步攻擊金融時報的計劃，希望沒有對你們造成不好的印象。我們只是試圖挽救自己的文明。我們的聲音很小，因此希望能借助你們的聲音。

這是一個有關(guān)安全的技術(shù)文章，所以我不會評論上述內(nèi)容，只能說我們看到SEA的活動來自俄羅斯和敘利亞。

黑客文化

極具諷刺的是，我們周五被黑，而下周一和周二是一年一度的金融時報技術(shù)黑客日。黑客有著不同的形式，一些是破壞性的，一些是創(chuàng)造性的。黑客對于我們意味著： 

開發(fā)人員自豪地穿著體現(xiàn)黑客精神的T恤。記者們實際上也被稱作“黑客”。我們非常喜歡黑客文化。我們只需要更好的防止我們不喜歡的黑客妨礙我們喜歡的黑客(或者黑客行為)。

黑客精神長存!

*本文由金融時報Web技術(shù)團隊FT Labs創(chuàng)始人及主管Andrew Betts發(fā)布，IDF實驗室志愿者童進翻譯，章典校對。