三周前的推特大規(guī)模賬號入侵事件，無疑是目前為止受到最廣泛關(guān)注的一起安全事件。在這起事件中，包括美國前總統(tǒng)奧巴馬、亞馬遜CEO貝佐斯，以及巴菲特、特斯拉CEO馬斯克等人在內(nèi)的大量知名推特賬號被盜，并突然集體發(fā)送比特幣釣魚推文，誘導(dǎo)粉絲向黑客的比特幣錢包轉(zhuǎn)賬。

事件發(fā)生后，推特立即關(guān)閉了認(rèn)證推特帳戶的發(fā)布新推文的功能，不過仍有130個賬戶受到影響。同時，推特也表示會不斷更新關(guān)于這起黑客攻擊事件的最新調(diào)查情況。

7月31日，推特公布了本次大規(guī)模賬號入侵事件的更多細(xì)節(jié)和調(diào)查結(jié)論，揭開了這起嚴(yán)重事件真相面紗的一角。

推特支持賬號公布最新調(diào)查結(jié)果

在事件初期，曾有分析人士稱，黑客之所以能夠得手，主要是因為買通了推特內(nèi)部的一名“內(nèi)鬼”。通過這名內(nèi)鬼，黑客獲得了訪問內(nèi)部管理工具的權(quán)限。

不過從推特公布的調(diào)查結(jié)果可以看到，并不是內(nèi)鬼在作祟，真正的攻擊手段是“電話魚叉式網(wǎng)絡(luò)釣魚攻擊”。

什么是“電話魚叉式網(wǎng)絡(luò)釣魚攻擊”？

看到這個詞，相信大多數(shù)人都會比較陌生。的確，一般我們見到的網(wǎng)絡(luò)釣魚攻擊往往是那些包含惡意軟件的電子郵件，或者誘導(dǎo)你訪問特定網(wǎng)站，從而下載帶有惡意軟件的文件。那么“電話魚叉式”又代表了什么意思呢？

我們一步步來，先從“魚叉式網(wǎng)絡(luò)釣魚攻擊”說起：

魚叉式釣魚攻擊與其他類型的釣魚式攻擊的不同之處在于，魚叉式釣魚針對的是特定人員或特定公司的員工。而普通的網(wǎng)絡(luò)釣魚是廣撒網(wǎng)，沒有明確目標(biāo)，類似普通詐騙電話。

[[336122]]

由于是針對特定人員，因此魚叉式釣魚攻擊更加危險。網(wǎng)絡(luò)罪犯會精心收集目標(biāo)對象的信息，使”誘餌”更具誘惑力。例如精心制作的魚叉式釣魚電子郵件看起來與正常郵件無異，足以瞞過經(jīng)驗豐富的安全專家。所以，魚叉式釣魚攻擊更容易讓受害者毫無防備地打開特定郵件，使之上鉤。

到這里，相信你也理解“電話魚叉式網(wǎng)絡(luò)釣魚攻擊”是什么意思了吧。沒錯，這就是一種利用電話方式來進(jìn)行的魚叉式網(wǎng)絡(luò)釣魚攻擊。

在這類攻擊中，網(wǎng)絡(luò)罪犯會使用VoIP（一般稱為網(wǎng)絡(luò)電話）向選定的目標(biāo)發(fā)起呼叫，通常網(wǎng)絡(luò)罪犯都會利用大多數(shù)VoIP服務(wù)的開放性來偽造來電顯示，使每個電話看起來都是來自合法銀行，當(dāng)網(wǎng)絡(luò)罪犯遇到用戶的語音信箱時，它就會留下一條語音信息，說用戶的賬戶已經(jīng)被凍結(jié)，并勸告用戶撥打給定的號碼提供賬戶信息，接著，攻擊者就會接到“心急火燎”的受害者的回電，并輕松獲得用戶的個人信息。

[[336123]]

推特是如何被黑客一步步拿到控制權(quán)的？

由此，通過了解什么是“電話魚叉式網(wǎng)絡(luò)釣魚攻擊”，我們大致可以推斷出推特是如何一步步被黑客攻破的。

首先，一個推特員工或供應(yīng)商在他們的手機上收到了一條消息，似乎是來自推特的支持團(tuán)隊，并要求他們撥打一個號碼。

當(dāng)該員工撥打該號碼時，他們可能被帶到了一個令人信服的（但卻是假的）服務(wù)臺接線員那里，然后該接線員就可以利用 “社會工程學(xué)”來欺騙目標(biāo)受害者交出他們的憑證。

[[336124]]

注：“社會工程學(xué)”是一個安全術(shù)語，通常指黑客欺騙人們，從而獲得本不應(yīng)該獲得的訪問權(quán)限。

由于推特員工或供應(yīng)商認(rèn)為他們正在與內(nèi)部人員通話，因此他們會在電話中透露更多細(xì)節(jié)，比如交出內(nèi)部管理工具。

同樣，對話也可能是由騙子給員工打電話發(fā)起的，可能是使用VOIP電話服務(wù)，并使用來電顯示欺騙，假裝是來自合法號碼，從而讓員工“乖乖”交出控制權(quán)。

如何防備這類攻擊？

從網(wǎng)絡(luò)犯罪的角度看，魚叉式網(wǎng)絡(luò)釣魚無疑是攻擊者眼中的理想工具，因為它們能輕松取得受害者的信任。攻擊者更加關(guān)注高管和其他具有管理員權(quán)限的雇員，誘使其啟動惡意軟件，讓網(wǎng)絡(luò)罪犯進(jìn)入公司環(huán)境。從而用勒索軟件加密公司數(shù)據(jù)，然后向受害者勒索費用。那么，針對這類攻擊我們就無法防范了嗎？

當(dāng)然不是，這里小編給大家支幾招，希望能派上用場。

01▶電話中不要透露任何關(guān)鍵信息◀

大多數(shù)魚叉式網(wǎng)絡(luò)釣魚的成功不是因為員工想做錯事，而是因為他們熱衷于做好事。因此，僅僅因為某人在電話中聽起來很友好、很有幫助，并不意味著他們應(yīng)該被信任。雖然沒有提供建設(shè)性的幫助在社交上可能會比較尷尬，特別是當(dāng)你認(rèn)為你正在與一個幫助你的"支持人員"通話，但你仍應(yīng)該時刻保持警惕。

02▶公司防火墻并不是完美的◀

以往，網(wǎng)絡(luò)安全通?；谶@樣的思想：“IT部門最清楚，它將制定所有規(guī)則。”理想情況下，釣魚電子郵件確實不應(yīng)該到達(dá)員工的郵箱，但是這種思想會產(chǎn)生一種潛意識，即盲目地假設(shè)所有未被阻止的東西都是安全的。

在網(wǎng)絡(luò)環(huán)境更加復(fù)雜的今天，這種潛意識顯然是不合時宜的。

[[336125]]

03▶安排定期演習(xí)◀

由于無法保證所有員工都能時刻保持警惕，而一旦造成的損失又可能難以挽回，因此安排特定的演習(xí)是有必要的。市面上有些安全公司就會制作專門的“欺詐”郵件，用來“誘騙”那些掉以輕心的員工。

04▶完善的數(shù)據(jù)保護(hù)機制◀

如同推特在事后加強了安全監(jiān)管和內(nèi)部權(quán)限機制一樣，你同樣需要審視自己的數(shù)據(jù)保護(hù)方案是否健全。在這里，小編推薦戴爾易安信的“避風(fēng)港”計劃——Cyber Recovery，專門應(yīng)對愈演愈烈的惡意攻擊和勒索病毒等行為。

[[336126]]

Cyber Recovery解決方案由一對PowerProtect DD系統(tǒng)和Cyber Recovery管理主機組成，運行在管理主機上的Cyber Recovery軟件通過啟用或禁用CR存儲區(qū)中Data Domain系統(tǒng)上的復(fù)制以太網(wǎng)接口，來控制從生產(chǎn)環(huán)境流向存儲區(qū)環(huán)境的數(shù)據(jù)流。

Cyber Recovery是一個邏輯上的的Air-Gap解決方案，它提供了對任何網(wǎng)絡(luò)攻擊的保護(hù)，是戴爾易安信對病毒防護(hù)、惡意刪除等安全事件的終極解決方案。

備份數(shù)據(jù)存儲在生產(chǎn)端DD上后，生產(chǎn)端DD和CR存儲區(qū)的DD建立復(fù)制鏈接，使用DD的專用接口將備份數(shù)據(jù)從生產(chǎn)中心DD通過內(nèi)部網(wǎng)絡(luò)復(fù)制到CR存儲區(qū)的DD上。

Cyber Recovery使用DD Retention Lock特性，在Cyber Recovery存儲區(qū)創(chuàng)建生產(chǎn)端DD復(fù)制數(shù)據(jù)的不可變副本，在CR存儲區(qū)中通過CR Management創(chuàng)建調(diào)度來啟用復(fù)制接口鏈接，復(fù)制完后將禁用Cyber Recovery Vault區(qū)DD上的復(fù)制接口，以建立備份數(shù)據(jù)完全網(wǎng)絡(luò)隔離方案。我們還可以在CR存儲區(qū)創(chuàng)建RW沙箱，用于分析數(shù)據(jù)并恢復(fù)驗證數(shù)據(jù)。

Cyber Recovery解決方案的咨詢服務(wù)還可以為用戶提供進(jìn)一步的物理安全性設(shè)計，防止內(nèi)部破壞分子可能利用物理安全薄弱環(huán)節(jié)?？梢詫R存儲區(qū)設(shè)備安裝在專門的房間或籠子里，并實施物理訪問控制措施，如房間或籠子上鎖，使用鑰匙須登記，或者兩人同時插入鑰匙才能開鎖，以及籠門、房門、設(shè)備上安裝視頻監(jiān)控等。

結(jié)  語

身處數(shù)字時代，數(shù)據(jù)風(fēng)險面對防不勝防，推特這樣的大型互聯(lián)網(wǎng)公司的遭遇無疑給我們上了生動的一課。企業(yè)更加應(yīng)當(dāng)選擇既能定點打擊、又能全面防護(hù)的數(shù)據(jù)保護(hù)方案。只有這樣，企業(yè)才能把主動權(quán)把握在手中，為數(shù)據(jù)驅(qū)動價值構(gòu)筑安全防線。

相關(guān)內(nèi)容推薦：只需三招，做好數(shù)據(jù)保護(hù)防患于未然

相關(guān)產(chǎn)品：企業(yè) Data Domain 系統(tǒng)