我原本一直認(rèn)為自己對(duì)釣魚攻擊比較有防范意識(shí)。在釣魚攻擊中，攻擊者會(huì)創(chuàng)建一個(gè)與受害者經(jīng)常使用的系統(tǒng)一模一樣的登錄頁(yè)面，用來(lái)欺騙他們以獲取用戶名和密碼。相比之下，經(jīng)驗(yàn)不足的Web用戶非常容易遭受這種攻擊，因?yàn)樗麄儾荒芎芎玫睦斫釽eb工作原理，所以幾乎無(wú)法分辨網(wǎng)頁(yè)的真?zhèn)巍?/p>

大約10天前，一個(gè)或一群自稱敘利亞電子軍(SEA)的黑客對(duì)《金融時(shí)報(bào)》進(jìn)行了一場(chǎng)非常有針對(duì)性的網(wǎng)絡(luò)攻擊。我們并不是他們攻擊的第一個(gè)目標(biāo)，事實(shí)上在我寫這篇文章過(guò)程中，我們甚至就已經(jīng)擺脫“最新被攻擊目標(biāo)”的稱號(hào)了。但是這次攻擊給我上了很重要的一課，針對(duì)一個(gè)大型公司的攻擊并不是隨機(jī)發(fā)送讓你重置PayPal賬戶那樣的欺詐郵件，它們通過(guò)精心的偽裝，往往難辨真假。這些發(fā)送到《金融時(shí)報(bào)》的電子郵件成功盜取了我們公司的Google賬戶，這其中便有我的。

事情是這么發(fā)生的

5月14號(hào)，一些包含釣魚網(wǎng)站鏈接的電子郵件，從外部的郵件帳戶發(fā)到金融時(shí)報(bào)。其中有些來(lái)自金融時(shí)報(bào)員工的個(gè)人賬戶，這表明這些員工本身已經(jīng)被攻擊了，但那并非是為了攻擊金融時(shí)報(bào)而進(jìn)行的攻擊。郵件中會(huì)包含一個(gè)鏈接，它看起來(lái)像是CNN.com上的一篇文章，但實(shí)際卻鏈接到一個(gè)已經(jīng)被黑掉的WordPress網(wǎng)站(這個(gè)網(wǎng)站相當(dāng)知名，但在這里指出他們的名字并不合適，而且他們已經(jīng)修復(fù)了問(wèn)題)。這個(gè)站點(diǎn)有一個(gè)名為ft.php的文件。因?yàn)猷]件是HTML格式，它可以鏈接到一個(gè)與顯示并不相同的URL，所以這個(gè)鏈接實(shí)際鏈接地址并不是看起來(lái)的那樣。 

 

被黑的WordPress網(wǎng)站會(huì)將用戶重定向到googlecom.webege.com下的一個(gè)頁(yè)面，這個(gè)頁(yè)面看起來(lái)與我們公司的電子郵箱登錄界面一樣(金融時(shí)報(bào)使用谷歌應(yīng)用作為內(nèi)部電子郵件系統(tǒng))。

如果你提交了googlecom.webege.com上的表單，數(shù)據(jù)首先會(huì)發(fā)送到相同主機(jī)上的PHP腳本，然后它將你登錄到真正的谷歌帳戶并重定向至Gmail的頁(yè)面，這樣你就被欺騙了。我們?cè)O(shè)法使腳本產(chǎn)生錯(cuò)誤，這些錯(cuò)誤信息表明它會(huì)使用你Google帳戶的數(shù)據(jù)作為命令行參數(shù)來(lái)執(zhí)行一個(gè)shell命令。同時(shí)我們將這個(gè)網(wǎng)站報(bào)告給了網(wǎng)絡(luò)服務(wù)商，在當(dāng)天晚些時(shí)候，他們將這個(gè)網(wǎng)站撤下來(lái)了。

通過(guò)攻擊那些公開自己電子郵件地址的金融時(shí)報(bào)員工，黑客最終設(shè)法獲取了一個(gè)FT.com企業(yè)電子郵件帳戶權(quán)限。通過(guò)該郵箱他們同樣也獲取了我們的全球地址列表和金融時(shí)報(bào)每個(gè)員工的電子郵件地址。他們開始發(fā)送相同的電子郵件給更多的FT.com用戶，不過(guò)這一次郵件來(lái)自合法的FT.com電子郵件帳戶。

我們的IT支持團(tuán)隊(duì)已經(jīng)收到了釣魚網(wǎng)站的舉報(bào)，并向全體員工發(fā)出警告讓其忽略釣魚郵件，同時(shí)暫停了已知的被盜帳戶。不幸的是，被黑帳號(hào)收件箱中的警告信息也給了黑客二次釣魚的機(jī)會(huì)，他們利用我們的IT服務(wù)臺(tái)警告消息調(diào)整了攻擊郵件，利用警報(bào)和人們面對(duì)攻擊時(shí)的安全期望心理來(lái)釣更多的受害者： 

 

此時(shí)，我們收到一封電子郵件，它使用真實(shí)的金融時(shí)報(bào)內(nèi)部用語(yǔ)，來(lái)自真正的FT.com電子郵件地址，它要求用戶登錄并修改他們的密碼，同時(shí)帶有一個(gè)我們?cè)诮鹑跁r(shí)報(bào)使用的郵件系統(tǒng)的登錄鏈接。

最終，谷歌將這個(gè)URL列入了黑名單，釣魚鏈接才停止傳播。后續(xù)帶有這個(gè)鏈接的電子郵件將被系統(tǒng)退回。但是通過(guò)利用盜取的帳戶，黑客已經(jīng)完成了我們博客平臺(tái)上有效帳戶的密碼重置，同時(shí)也獲得了我們?cè)S多Twitter帳戶的權(quán)限。這是當(dāng)我們看到SEA的內(nèi)容通過(guò)金融時(shí)報(bào)發(fā)布時(shí)才意識(shí)到的————其中一些還是以我的名義發(fā)布的。

開發(fā)人員可能會(huì)認(rèn)為他們不會(huì)被這些欺騙————我原來(lái)也這么想。我收到釣魚郵件后，點(diǎn)擊了鏈接，但隨即就意識(shí)到這個(gè)釣魚頁(yè)面是做什么的，我沒(méi)有填寫表單而是進(jìn)行了舉報(bào)。也許我一直打開著那個(gè)釣魚網(wǎng)站的標(biāo)簽，當(dāng)切換標(biāo)簽時(shí)沒(méi)有注意到URL而無(wú)意中登錄了，我想這一定是我賬號(hào)被盜的案例中發(fā)生的。

我們的回應(yīng)

我們的運(yùn)營(yíng)和開發(fā)團(tuán)隊(duì)使用了一款名為Splunk的工具進(jìn)行近乎實(shí)時(shí)地收集和分析日志。谷歌也為我們提供了可以訪問(wèn)他們那邊日志的溝通小組。我們開始對(duì)攻擊流量的模式和識(shí)別特征構(gòu)建記錄。當(dāng)黑客繼續(xù)嘗試并訪問(wèn)系統(tǒng)時(shí)，我們可以用更高的精度跟蹤他們。

同時(shí)，我們采取了如下行動(dòng)來(lái)鎖定系統(tǒng)并取回控制權(quán)：

我們對(duì)IP進(jìn)行過(guò)濾，以限制對(duì)金融時(shí)報(bào)內(nèi)網(wǎng)系統(tǒng)的訪問(wèn)。

被盜的Google賬戶全部被谷歌停用。

Twitter鎖定了我們所有的Twitter賬戶，并更換了證書。

我們啟用了更積極的措施以提醒我們可疑的登錄嘗試。#p#

安全教訓(xùn)

Twitter(我們的許多賬號(hào))和WordPress(約2~60個(gè)博客)，只有這兩個(gè)系統(tǒng)(除了谷歌電子郵件帳戶外)的賬號(hào)被盜。Twitter和WordPress可能是在金融時(shí)報(bào)最廣泛且公開訪問(wèn)使用的兩個(gè)工具，所以針對(duì)它們的攻擊并不奇怪。隨著時(shí)間的推移，越來(lái)越多的公司采用相同的在線工具，這使得問(wèn)題可能會(huì)變得更糟————如果其中一個(gè)工具的漏洞被發(fā)現(xiàn)，它可以被用來(lái)對(duì)付所有使用它的人————這增加了黑客挖掘漏洞的動(dòng)機(jī)。

另一方面，采用廣泛使用的工具也是一件好事。切換到谷歌帳戶(金融時(shí)報(bào)在去年完成)讓我們獲取了良好設(shè)計(jì)的雙因素身份認(rèn)證系統(tǒng)和自動(dòng)安全檢查，它提供了更強(qiáng)大的防御能力。從某種意義上說(shuō)，也許會(huì)有更多的人“找上門來(lái)”，但門更加牢固。不幸的是，上周五我們將它虛掩著?，F(xiàn)在我們積極在整個(gè)組織中采用雙因素身份認(rèn)證，并強(qiáng)制任何可能成為攻擊對(duì)象的人員使用它。就我個(gè)人而言，我希望我們能夠盡快實(shí)現(xiàn)100%的雙因素身份認(rèn)證。

設(shè)定了更為嚴(yán)格的安全標(biāo)準(zhǔn)后，我們現(xiàn)在也在重新審計(jì)所有允許不受信任的用戶授權(quán)訪問(wèn)金融時(shí)報(bào)技術(shù)資源的認(rèn)證點(diǎn)，更加積極的減少甚至消除不是絕對(duì)必要的權(quán)限，通過(guò)對(duì)安全標(biāo)準(zhǔn)設(shè)定更加清晰的期望來(lái)教育和幫助用戶，提高攻擊發(fā)生時(shí)的檢測(cè)和響應(yīng)速度。我們躊躇滿志的認(rèn)為自己能關(guān)閉所有潛在的漏洞，并且迅速和果斷的回應(yīng)是阻止攻擊的第二好方法。

大型組織尤其是媒體公司總是容易遭受網(wǎng)絡(luò)攻擊————攻擊范圍很大，而且攻擊者只需找到盔甲上一個(gè)微小的裂縫。我們很不幸的成為了在最近幾周遭受類似攻擊的杰出機(jī)構(gòu)名單的一員：美聯(lián)社，洋蔥新聞，天空新聞，英國(guó)廣播公司，衛(wèi)報(bào)，短短幾天后每日電訊報(bào)也被攻擊了。

一切都結(jié)束了嗎?

不盡然。實(shí)際上我們相當(dāng)熟悉自稱為SEA的黑客或黑客群體，因?yàn)槲覀儓?bào)道過(guò)幾次他們反對(duì)媒體機(jī)構(gòu)的活動(dòng)。我們?cè)诎⒉荚鹊耐缕鋵?shí)與該組織的官方Twitter取得過(guò)聯(lián)系，并通過(guò)電子郵件進(jìn)行了采訪，這些采訪我們也發(fā)布過(guò)。

在金融時(shí)報(bào)遭受攻擊后，我們?cè)俅闻c他們?nèi)〉寐?lián)系，并從他們發(fā)言人得到如下答復(fù)(內(nèi)容未編輯)：

是的，我們確實(shí)黑掉了金融時(shí)報(bào)并利用它發(fā)布了一些被所有主流媒體忽略的信息。為了支持分布在各地的組織和考文垂的敘利亞人權(quán)觀察委員會(huì)，敘利亞造反派的血腥天性被刻意忽視。所有的暴力事件都?xì)w咎于敘利亞軍，而它不過(guò)是捍衛(wèi)自己的領(lǐng)土。

金融時(shí)報(bào)沒(méi)有太多西方媒體的偏見，所以我們的攻擊很弱。我們認(rèn)為讓有金融意識(shí)的讀者了解他們的政府為造反派提供資金的后果很重要。我們很反感威廉.黑格和戴維.卡梅倫最近的4000萬(wàn)英鎊撥款,這是以推動(dòng)我國(guó)的滅亡和毀滅來(lái)獲得政治特權(quán)。這就是恐怖主義，我們?cè)趯?duì)天空新聞攻擊中的證據(jù)表明FCO直接參與了對(duì)造反派的資金支持和武器采購(gòu)。我們所接觸過(guò)的媒體都不愿意報(bào)道這個(gè)，所以我們別無(wú)選擇，只能將事態(tài)控制在我們自己的手中。

我們沒(méi)有進(jìn)一步攻擊金融時(shí)報(bào)的計(jì)劃，希望沒(méi)有對(duì)你們?cè)斐刹缓玫挠∠蟆Ｎ覀冎皇窃噲D挽救自己的文明。我們的聲音很小，因此希望能借助你們的聲音。

這是一個(gè)有關(guān)安全的技術(shù)文章，所以我不會(huì)評(píng)論上述內(nèi)容，只能說(shuō)我們看到SEA的活動(dòng)來(lái)自俄羅斯和敘利亞。

黑客文化

極具諷刺的是，我們周五被黑，而下周一和周二是一年一度的金融時(shí)報(bào)技術(shù)黑客日。黑客有著不同的形式，一些是破壞性的，一些是創(chuàng)造性的。黑客對(duì)于我們意味著： 

開發(fā)人員自豪地穿著體現(xiàn)黑客精神的T恤。記者們實(shí)際上也被稱作“黑客”。我們非常喜歡黑客文化。我們只需要更好的防止我們不喜歡的黑客妨礙我們喜歡的黑客(或者黑客行為)。

黑客精神長(zhǎng)存!

*本文由金融時(shí)報(bào)Web技術(shù)團(tuán)隊(duì)FT Labs創(chuàng)始人及主管Andrew Betts發(fā)布，IDF實(shí)驗(yàn)室志愿者童進(jìn)翻譯，章典校對(duì)。