上周末，推特上流傳的一張截屏圖片引起了注意。這次的騙局非常具有教育意義，值得學(xué)習(xí)借鑒。教訓(xùn)就是：社會(huì)工程，只要用得有效，任何安全控制都形同虛設(shè)。

[[167376]]

下圖是clearbit.com共同創(chuàng)始人阿列克斯·麥考發(fā)在推特上的。

顯示的是有人正在嘗試登錄Gmail賬戶的短信。這完全就是個(gè)騙局，但可以想一下，這條信息暗示了什么，又在要求什么。

該信息并沒有讓你輸口令，也沒有要求你的個(gè)人信息，更沒想控制你的Gmail賬戶。恰恰相反，它提供一種溫暖貼心的安全感，以及通過暫時(shí)鎖定賬戶來讓這種安全感更加深入的能力。

這種攻擊相當(dāng)聰明，無疑是有成功案例的。它的上下文環(huán)境是成功的關(guān)鍵。該信息告訴受害者，有人正嘗試登錄他們的Gmail賬戶，并提供了有關(guān)“攻擊者”的基本ID。

由此，展開兩種場景：

懂點(diǎn)兒技術(shù)的，會(huì)意識(shí)到IP地址是可以偽造的，涉及到歸屬問題時(shí)基本沒什么證明力。而且，如果他們啟用了谷歌的雙因子身份驗(yàn)證，并且經(jīng)常使用此類功能，他們就知道像這樣的信息肯定是假的——因?yàn)轵?yàn)證過程根本不是這樣的。

這部分潛在的受害者很有可能會(huì)忽略此信息，直接修改他們的Gmail密碼以保持安全狀態(tài)。

另一方面，加上攻擊者的ID，某種程度上確實(shí)有助于騙局繼續(xù)進(jìn)展。對(duì)那些不熟悉IP地址機(jī)制的人來講，這一細(xì)節(jié)提供了一層合法性，尤其是在該地址不是他們所在區(qū)域的時(shí)候。此外，意識(shí)培訓(xùn)常會(huì)鼓勵(lì)使用雙因子身份驗(yàn)證，但很多使用者并不完全理解其功能特性。這種情況下，他們可能直到造成損失才會(huì)發(fā)現(xiàn)受騙上當(dāng)了。

如此，該部分受害者更易于遵照信息指示行動(dòng)，相信自己是在做正確的事。

這6位數(shù)字的價(jià)值到底是什么?

好吧，現(xiàn)在受害者手里有兩條信息了。一條警告他們說有攻擊——其實(shí)是誘餌，另一條來自谷歌——包含了6位驗(yàn)證碼。大多數(shù)受害者不知道的是，最初的那條警告消息，其實(shí)就是真真切切的攻擊了。

發(fā)送第一條消息的人，目的就是觸發(fā)谷歌的雙因子身份驗(yàn)證過程。只要攻擊者手握正確的密碼，而受害者又按照指示行事，他們終將獲得目標(biāo)Gmail賬戶的訪問權(quán)。

人們經(jīng)常在多個(gè)網(wǎng)站使用相同的口令。最近，幾億個(gè)賬戶剛泄露到網(wǎng)上，網(wǎng)絡(luò)罪犯們的潛在受害者數(shù)不勝數(shù)?？诹畋恍孤兜娜死锩?，有多少人會(huì)在Gmail上使用相同的口令呢?

這種情況下，攻擊者很可能已經(jīng)有了用戶名和密碼，只差驗(yàn)證碼即可完全控制該賬戶。對(duì)某些人而言，拿到了他們的谷歌賬戶，也就掌握了他們?nèi)康木W(wǎng)上身份。

這個(gè)攻擊為何如此狡猾的另一個(gè)原因，在于信息里的請(qǐng)求本身

有些網(wǎng)站會(huì)教育用戶避免將口令告訴陌生人，敦促用戶警惕通過電子郵件或電話討要口令的情況，讓用戶不要點(diǎn)擊鏈接，可能的話，還會(huì)培訓(xùn)他們使用雙因子身份驗(yàn)證。

人們依然會(huì)分享口令、點(diǎn)擊鏈接，甚至是很愿意這么做，但是，他們知道本不應(yīng)該這樣。

不過，這個(gè)攻擊并不是通過電子郵件進(jìn)行的，它是一條短信。沒要求口令，也沒讓受害者點(diǎn)擊鏈接。不過是讓受害者回復(fù)他們將要收到的驗(yàn)證碼而已。

任何受過基本安全意識(shí)培訓(xùn)的人都會(huì)告訴你：口令是很重要的，但你覺得非技術(shù)用戶(甚或那些有一定基本技術(shù)常識(shí)的用戶)，會(huì)高度重視6個(gè)隨機(jī)數(shù)字嗎?

顯然，他們應(yīng)該重視，但問題是，他們會(huì)嗎?

很遺憾，他們真不認(rèn)為這6位隨機(jī)數(shù)字重要到哪里去。這也是為什么此類攻擊會(huì)發(fā)生的原因所在。它利用的正是意識(shí)培訓(xùn)將重點(diǎn)放在電子郵件和物理威脅上所造成的影響。除非雙因子身份驗(yàn)證碼(2FA)在意識(shí)培訓(xùn)里被單獨(dú)提出來，否則用戶不會(huì)保護(hù)這組6位隨機(jī)數(shù)。因此，如果你還沒把短信騙局加進(jìn)你的意識(shí)培訓(xùn)項(xiàng)目中，或許可以考慮添加一下。

帶身份欺騙的情況下，此類攻擊更難以防范

在美國，難以進(jìn)行發(fā)件人ID欺騙。注冊(cè)短信發(fā)送短碼代價(jià)高昂，且過程繁瑣。因此，此類騙局一般來自于某個(gè)未知號(hào)碼，沒有與之相關(guān)聯(lián)的聯(lián)系人信息，很好識(shí)別出來。

然而，美國也有租借短碼的合法服務(wù)。此類營銷廠商在活動(dòng)和要求方面非常嚴(yán)格，但也不能保證就完全無懈可擊。一旦攻擊者成功租到合法的短信發(fā)送短碼，他們就能讓短信看起來出自可信來源。

而在美國以外，什么門檻都沒有了，發(fā)件人ID欺騙不費(fèi)吹灰之力，攻擊者想讓它看起來是谷歌發(fā)送的都可以，或者，讓它好像來自你自己的IT部門也行。

意識(shí)培訓(xùn)有助提升安全性，但意識(shí)培訓(xùn)項(xiàng)目不能是靜態(tài)的。隨著犯罪分子不斷創(chuàng)新騙術(shù)，培訓(xùn)也應(yīng)該隨之改變。

你的安全意識(shí)培訓(xùn)中還沒有包含進(jìn)此類威脅?趕快吧!