很多信息安全專家認(rèn)為，如果老練的攻擊者瞄準(zhǔn)企業(yè)內(nèi)一個(gè)高價(jià)值的人作為魚叉式網(wǎng)絡(luò)釣魚攻擊的一部分，鑒于當(dāng)今的安全控制、流程以及對(duì)于攻擊如何發(fā)生的安全意識(shí)，這名攻擊者應(yīng)該會(huì)成功。

CloudFlare公司的首席執(zhí)行官證明了這一點(diǎn)。讓我們簡(jiǎn)單地回顧一下，CloudFlare公司使用谷歌的Gmail賬戶來(lái)登錄Google Apps，用以管理CloudFlare產(chǎn)品中的客戶數(shù)據(jù)。通過(guò)一系列預(yù)先計(jì)劃的活動(dòng)，攻擊者獲取了對(duì)這名首席執(zhí)行官賬戶的控制，并發(fā)起攻擊，最終成功獲取了CloudFlare的一名客戶的信息。毫無(wú)疑問(wèn)，這對(duì)于任何企業(yè)而言，都是最糟糕的情況。

用戶賬戶安全：錯(cuò)誤和最佳做法

攻擊者的第一步是獲取該CEO的Gmail賬戶信息，這不僅讓他或她可以控制該CEO的電子郵件，而且還可以通過(guò)簡(jiǎn)單的登錄，獲得對(duì)其Google Apps工具的控制。很顯然，這名CEO使用了簡(jiǎn)單的電子郵件地址，用于外部通信以及訪問(wèn)Google Apps賬戶。大多數(shù)企業(yè)在其企業(yè)網(wǎng)站中公布了其高管的名字，并且大多數(shù)企業(yè)使用與名字相關(guān)的簡(jiǎn)單的電子郵件地址（例如jsmith@gmail.com或者john.smith@gmail.com），攻擊者只需要向這些名字變體地址發(fā)送一些釣魚電子郵件，就可以確定他或她的電子郵件地址。這也是獲取該賬戶控制權(quán)的第一步。

我們可以通過(guò)兩種方法來(lái)阻止這種用于確定電子郵件賬戶名稱的魚叉式網(wǎng)絡(luò)釣魚攻擊。由于所有企業(yè)郵件系統(tǒng)都有“白頁(yè)”或者某種形式的目錄，企業(yè)不需要內(nèi)部員工知道互相的電子郵件地址。因此，企業(yè)應(yīng)該采取的更好安全控制是：使用與實(shí)際用戶名字不太相關(guān)的電子郵件地址。例如，使用員工名字的縮寫，并在后面添加四個(gè)或五個(gè)隨機(jī)數(shù)字（例如jps29581@gmail.com），這樣的話，魚叉式釣魚攻擊幾乎不可能成功。對(duì)于使用電子郵件地址作為訪問(wèn)企業(yè)數(shù)據(jù)（例如Google Apps）的憑證的系統(tǒng)，確保攻擊者無(wú)法獲取訪問(wèn)權(quán)的第二種方法是：使用一個(gè)電子郵件賬戶用于外部通信，使用另一個(gè)單獨(dú)的電子郵件賬戶（或更多賬戶）僅用于訪問(wèn)重要應(yīng)用和數(shù)據(jù)。即使在云環(huán)境中，使用與個(gè)人不相關(guān)的電子郵件賬戶名稱都能夠阻止外部人員發(fā)現(xiàn)（并可能破壞）該賬戶。在CloudFlare的案例中，如果使用jps2958@gmail.com作為電子郵件賬戶，并使用單獨(dú)的賬戶（例如torbox3953@gmail.com）用于Google Apps訪問(wèn)將讓攻擊者無(wú)法找出CEO的電子郵件賬戶。

密碼恢復(fù)是如何出錯(cuò)的

在攻擊者獲取CloudFlare公司CEO的Gmail賬戶名稱后，他聯(lián)系谷歌的客戶服務(wù)來(lái)進(jìn)行密碼重設(shè)。在數(shù)星期的嘗試后，攻擊者說(shuō)服谷歌的賬戶恢復(fù)系統(tǒng)來(lái)添加一個(gè)虛假的恢復(fù)電子郵件地址，這讓攻擊者可以更改CEO的Gmail密碼以及獲取該賬戶的訪問(wèn)權(quán)。

無(wú)論企業(yè)使用多么強(qiáng)大的密碼（在這個(gè)案例中，使用的是20+字符長(zhǎng)的高度隨機(jī)的密碼），只要企業(yè)的密碼重置程序很薄弱，攻擊者都能夠通過(guò)獲取用戶的個(gè)人詳細(xì)信息，繞過(guò)破解高強(qiáng)度密碼，直接更改密碼。例如，在用戶注冊(cè)賬戶時(shí)，都會(huì)要求用戶設(shè)置一個(gè)簡(jiǎn)單的易于猜測(cè)的問(wèn)題來(lái)重置賬戶密碼。而在Facebook、LinkedIn和其他休閑和專業(yè)社交媒體網(wǎng)站存儲(chǔ)了大量個(gè)人資料，因此，員工必須假設(shè)其生活的主要因素現(xiàn)在都已經(jīng)公之于眾了。大部分網(wǎng)民的很多信息都可以很容易地在網(wǎng)上找到，例如最喜愛的寵物、高中名稱、母親的婚前姓氏等。這意味著隨著企業(yè)開始向互聯(lián)網(wǎng)暴露更多后端業(yè)務(wù)系統(tǒng)或者使用云服務(wù)（CloudFlare的案例中），企業(yè)需要采用更強(qiáng)大的身份驗(yàn)證方法（例如雙因素身份驗(yàn)證或者生物識(shí)別技術(shù)），來(lái)保護(hù)面向瞬息萬(wàn)變的互聯(lián)網(wǎng)的賬戶，

對(duì)于大多數(shù)面向互聯(lián)網(wǎng)的攻擊，遵循這些簡(jiǎn)單的步驟都能夠阻止攻擊。但在CloudFlare的案例中，CEO的賬戶受到雙因素身份驗(yàn)證保護(hù)，卻仍然受到攻擊。這只能表明這名攻擊者非常嫻熟、聰明且堅(jiān)定。為了重置該CEO的Gmail賬戶，這名攻擊者必須提供被發(fā)送到該CEO的AT&T移動(dòng)賬戶的PIN碼。

攻擊者甚至找到了一種方法來(lái)克服這一挑戰(zhàn)。根據(jù)事故調(diào)查員表示，這名攻擊者呼叫了AT&T，并假冒這名CEO。雖然攻擊者無(wú)法回答CEO的賬戶驗(yàn)證安全問(wèn)題，但他能夠向客服人員提供該CEO社會(huì)安全號(hào)碼的最后四位數(shù)字。但由于該賬戶是企業(yè)賬戶，不應(yīng)該被鏈接到CEO的社會(huì)安全號(hào)碼。這讓該攻擊者將CEO的語(yǔ)音郵件重定向到受攻擊者控制的電話號(hào)碼。攻擊者再次使用受害者的個(gè)人信息獲取了對(duì)賬戶（這個(gè)案例中是CEO的移動(dòng)運(yùn)營(yíng)商）的控制，恰恰利用了密碼重置過(guò)程的最薄弱的環(huán)節(jié)。這表明這名攻擊者非常熟悉谷歌的密碼重置過(guò)程。在此事件后，AT&T和谷歌已經(jīng)更改了他們的身份驗(yàn)證過(guò)程以加強(qiáng)保護(hù)。

結(jié)論

這些事件讓我們意識(shí)到，為了獲取高價(jià)值賬戶，攻擊者可能會(huì)走向極端。16歲網(wǎng)絡(luò)奇才坐在他父母的地下室執(zhí)行這種攻擊的普遍看法已經(jīng)過(guò)時(shí)了。從這個(gè)事件和其他最近網(wǎng)絡(luò)欺詐事件來(lái)看，很顯然，這些攻擊是反文化組織針對(duì)美國(guó)企業(yè)的深思熟慮的有計(jì)劃的攻擊。

當(dāng)企業(yè)架構(gòu)其互聯(lián)網(wǎng)身份驗(yàn)證系統(tǒng)時(shí)，他們必須意識(shí)到身份驗(yàn)證過(guò)程可能超出他們的控制范圍，而延伸到業(yè)務(wù)合作伙伴和供應(yīng)商。企業(yè)必須充分理解云合作伙伴、互聯(lián)網(wǎng)服務(wù)提供商、移動(dòng)ISP和其他供應(yīng)商是如何管理和維護(hù)密碼重置、賬戶管理和財(cái)務(wù)支付流程的，并及時(shí)發(fā)現(xiàn)和糾正錯(cuò)誤。

從這次事件得到的好消息是，在CloudFlare調(diào)查此次攻擊時(shí)，谷歌和AT&T充分與其合作，但在CloudFlare事件發(fā)生前，即使是這些大公司也沒(méi)有意識(shí)到其程序缺陷。只有將身份和訪問(wèn)控制看作是完整的生態(tài)系統(tǒng)（從用戶到互聯(lián)網(wǎng)到云環(huán)境），才能夠發(fā)現(xiàn)缺陷。CloudFlare現(xiàn)在明白了攻擊者將會(huì)不惜一切代價(jià)來(lái)獲取目標(biāo)賬戶的控制權(quán)，問(wèn)題是，你的企業(yè)知道攻擊者會(huì)采取何種手段來(lái)獲取你的數(shù)據(jù)嗎？