【防不勝防】提防惡意求職電郵與Twitter被黑事件 | 文章 – 滙豐機滙

你知道 91% 的資料外洩都是因為網絡釣魚而引起的?只需一名員工的一次大意失誤,便會為公司帶來嚴重損失。今次UDomain 的網絡安全專家,詳細分析黑客如何透過惡意「求職電郵」竊取信息。

科技  ·    ·  2 mins read

早前,Twitter 爆出其史上最嚴重保安事件,導致蓋茨、奧巴馬、拜登、Elon Musk、Jeff Bezos、巴菲特的戶口被盜用發布騙財訊息,令人驚覺科網巨頭也有失守的一天。這一失誤,正好說明了UDomain 為何一直強調大家不能對網上保安掉以輕心,必須時刻保持警惕。

最近,公司人事部收到了一份求職電郵,其附上的履歷竟然是想盜取資料的惡意程式,幸好團隊及時察覺,避開了黑客的圈套。該份求職電郵,表明上想申請網上保安分析員的崗位,並附有一個聲稱是履歷的壓縮檔案,看似正常,但當團隊在一個模擬電腦環境解壓縮檔案,就發現當中包含一些加密了的程式碼,把程式碼還原後,便知悉了其用意:執行程式時盜取目標電腦的資料,再將資料傳送回黑客的伺服器。所以,若收電郵者不虞有詐,解壓附件並開啟檔案,執行檔便會悄悄啟動。(若想了解具體攻擊途徑、更多技術細節的朋友,可參閱這個連結。)

我們分享「求職電郵」這例子,是想說明網絡攻擊的手法的多樣,令人防不勝防,任何一個環節失守便中門大開,而最近轟動全球的Twitter被hack事件正是一例。

根據Twitter官方的說法,是次被攻擊的帳戶有130個,黑客並取得當中45個帳戶的控制權,可修改密碼及發出帖文,並下載了8個帳戶的用家資料及活動數據,還打算出售若干登入名稱(username)。

Twitter解釋,事件是有人操縱其少數員工,利用其權限登入Twitter的內部系統,突破其雙重認證的保護,取得只有內部支援隊伍才能使用的工具。

不過,按外媒說法,事件發生前有Twitter員工在網上討論區吹噓可以操控帳戶,更指該員工是從公司內部通訊的Slack頻道中發現了取得控制帳戶的權限,而擁有該權限的員工多達數百人。

雖然事件尚在調查,但似乎都指向「裡應外合」這一可能。而「日防夜防,家賊難防」這事,早已不是技術水平高低的問題,而是公司內部控制及管理的問題,也是網絡保安令人相當頭痛,各企業管理者都需要注意的一環。

《金融時報》引述IBM一名行政人員透露,隨著美國疫情不斷惡化,與新冠肺炎相關的網上騙案狂升60倍。而在這段時期,不論通訊、工作、學習、娛樂及應付家居大小雜務,均離不開網上,正是我們最倚賴互聯網的時候;而家居的網絡保安又未必如公司般完備,為黑客製造了不少提款的「商機」。正因如此,大家更應加倍注意網上世界的保安問題,小心謹慎。

疫情反彈,最重要的當然是「人冇事」,但在此亦希望眾多倚靠網絡世界運作的企業和用戶,能夠「網冇事」。

UDomain HK
UDomain HK
UDOMAIN
UDOMAIN