我原本一直认为自己对钓鱼攻击比较有防范意识。在钓鱼攻击中,攻击者会创建一个与受害者经常使用的系统一模一样的登录页面,用来欺骗他们以获取用户名和密码。相比之下,经验不足的Web用户非常容易遭受这种攻击,因为他们不能很好的理解Web工作原理,所以几乎无法分辨网页的真伪。
大约10天前,一个或一群自称叙利亚电子军(SEA)的黑客对《金融时报》进行了一场非常有针对性的网络攻击。我们并不是他们攻击的第一个目标,事实上在我写这篇文章过程中,我们甚至就已经摆脱“最新被攻击目标”的称号了。但是这次攻击给我上了很重要的一课,针对一个大型公司的攻击并不是随机发送让你重置PayPal账户那样的欺诈邮件,它们通过精心的伪装,往往难辨真假。这些发送到《金融时报》的电子邮件成功盗取了我们公司的Google账户,这其中便有我的。
事情是这么发生的
5月14号,一些包含钓鱼网站链接的电子邮件,从外部的邮件帐户发到金融时报。其中有些来自金融时报员工的个人账户,这表明这些员工本身已经被攻击了,但那并非是为了攻击金融时报而进行的攻击。邮件中会包含一个链接,它看起来像是CNN.com上的一篇文章,但实际却链接到一个已经被黑掉的WordPress网站(这个网站相当知名,但在这里指出他们的名字并不合适,而且他们已经修复了问题)。这个站点有一个名为ft.php的文件。因为邮件是HTML格式,它可以链接到一个与显示并不相同的URL,所以这个链接实际链接地址并不是看起来的那样。
被黑的WordPress网站会将用户重定向到googlecom.webege.com下的一个页面,这个页面看起来与我们公司的电子邮箱登录界面一样(金融时报使用谷歌应用作为内部电子邮件系统)。
如果你提交了googlecom.webege.com上的表单,数据首先会发送到相同主机上的PHP脚本,然后它将你登录到真正的谷歌帐户并重定向至Gmail的页面,这样你就被欺骗了。我们设法使脚本产生错误,这些错误信息表明它会使用你Google帐户的数据作为命令行参数来执行一个shell命令。同时我们将这个网站报告给了网络服务商,在当天晚些时候,他们将这个网站撤下来了。
通过攻击那些公开自己电子邮件地址的金融时报员工,黑客最终设法获取了一个FT.com企业电子邮件帐户权限。通过该邮箱他们同样也获取了我们的全球地址列表和金融时报每个员工的电子邮件地址。他们开始发送相同的电子邮件给更多的FT.com用户,不过这一次邮件来自合法的FT.com电子邮件帐户。
我们的IT支持团队已经收到了钓鱼网站的举报,并向全体员工发出警告让其忽略钓鱼邮件,同时暂停了已知的被盗帐户。不幸的是,被黑帐号收件箱中的警告信息也给了黑客二次钓鱼的机会,他们利用我们的IT服务台警告消息调整了攻击邮件,利用警报和人们面对攻击时的安全期望心理来钓更多的受害者:
此时,我们收到一封电子邮件,它使用真实的金融时报内部用语,来自真正的FT.com电子邮件地址,它要求用户登录并修改他们的密码,同时带有一个我们在金融时报使用的邮件系统的登录链接。
最终,谷歌将这个URL列入了黑名单,钓鱼链接才停止传播。后续带有这个链接的电子邮件将被系统退回。但是通过利用盗取的帐户,黑客已经完成了我们博客平台上有效帐户的密码重置,同时也获得了我们许多Twitter帐户的权限。这是当我们看到SEA的内容通过金融时报发布时才意识到的————其中一些还是以我的名义发布的。
开发人员可能会认为他们不会被这些欺骗————我原来也这么想。我收到钓鱼邮件后,点击了链接,但随即就意识到这个钓鱼页面是做什么的,我没有填写表单而是进行了举报。也许我一直打开着那个钓鱼网站的标签,当切换标签时没有注意到URL而无意中登录了,我想这一定是我账号被盗的案例中发生的。
我们的回应
我们的运营和开发团队使用了一款名为Splunk的工具进行近乎实时地收集和分析日志。谷歌也为我们提供了可以访问他们那边日志的沟通小组。我们开始对攻击流量的模式和识别特征构建记录。当黑客继续尝试并访问系统时,我们可以用更高的精度跟踪他们。
同时,我们采取了如下行动来锁定系统并取回控制权:
我们对IP进行过滤,以限制对金融时报内网系统的访问。
被盗的Google账户全部被谷歌停用。
Twitter锁定了我们所有的Twitter账户,并更换了证书。
我们启用了更积极的措施以提醒我们可疑的登录尝试。#p#
安全教训
Twitter(我们的许多账号)和WordPress(约2~60个博客),只有这两个系统(除了谷歌电子邮件帐户外)的账号被盗。Twitter和WordPress可能是在金融时报最广泛且公开访问使用的两个工具,所以针对它们的攻击并不奇怪。随着时间的推移,越来越多的公司采用相同的在线工具,这使得问题可能会变得更糟————如果其中一个工具的漏洞被发现,它可以被用来对付所有使用它的人————这增加了黑客挖掘漏洞的动机。
另一方面,采用广泛使用的工具也是一件好事。切换到谷歌帐户(金融时报在去年完成)让我们获取了良好设计的双因素身份认证系统和自动安全检查,它提供了更强大的防御能力。从某种意义上说,也许会有更多的人“找上门来”,但门更加牢固。不幸的是,上周五我们将它虚掩着。现在我们积极在整个组织中采用双因素身份认证,并强制任何可能成为攻击对象的人员使用它。就我个人而言,我希望我们能够尽快实现100%的双因素身份认证。
设定了更为严格的安全标准后,我们现在也在重新审计所有允许不受信任的用户授权访问金融时报技术资源的认证点,更加积极的减少甚至消除不是绝对必要的权限,通过对安全标准设定更加清晰的期望来教育和帮助用户,提高攻击发生时的检测和响应速度。我们踌躇满志的认为自己能关闭所有潜在的漏洞,并且迅速和果断的回应是阻止攻击的第二好方法。
大型组织尤其是媒体公司总是容易遭受网络攻击————攻击范围很大,而且攻击者只需找到盔甲上一个微小的裂缝。我们很不幸的成为了在最近几周遭受类似攻击的杰出机构名单的一员:美联社,洋葱新闻,天空新闻,英国广播公司,卫报,短短几天后每日电讯报也被攻击了。
一切都结束了吗?
不尽然。实际上我们相当熟悉自称为SEA的黑客或黑客群体,因为我们报道过几次他们反对媒体机构的活动。我们在阿布扎比的同事其实与该组织的官方Twitter取得过联系,并通过电子邮件进行了采访,这些采访我们也发布过。
在金融时报遭受攻击后,我们再次与他们取得联系,并从他们发言人得到如下答复(内容未编辑):
是的,我们确实黑掉了金融时报并利用它发布了一些被所有主流媒体忽略的信息。为了支持分布在各地的组织和考文垂的叙利亚人权观察委员会,叙利亚造反派的血腥天性被刻意忽视。所有的暴力事件都归咎于叙利亚军,而它不过是捍卫自己的领土。
金融时报没有太多西方媒体的偏见,所以我们的攻击很弱。我们认为让有金融意识的读者了解他们的政府为造反派提供资金的后果很重要。我们很反感威廉.黑格和戴维.卡梅伦最近的4000万英镑拨款,这是以推动我国的灭亡和毁灭来获得政治特权。这就是恐怖主义,我们在对天空新闻攻击中的证据表明FCO直接参与了对造反派的资金支持和武器采购。我们所接触过的媒体都不愿意报道这个,所以我们别无选择,只能将事态控制在我们自己的手中。
我们没有进一步攻击金融时报的计划,希望没有对你们造成不好的印象。我们只是试图挽救自己的文明。我们的声音很小,因此希望能借助你们的声音。
这是一个有关安全的技术文章,所以我不会评论上述内容,只能说我们看到SEA的活动来自俄罗斯和叙利亚。
黑客文化
极具讽刺的是,我们周五被黑,而下周一和周二是一年一度的金融时报技术黑客日。黑客有着不同的形式,一些是破坏性的,一些是创造性的。黑客对于我们意味着:
开发人员自豪地穿着体现黑客精神的T恤。记者们实际上也被称作“黑客”。我们非常喜欢黑客文化。我们只需要更好的防止我们不喜欢的黑客妨碍我们喜欢的黑客(或者黑客行为)。
黑客精神长存!
*本文由金融时报Web技术团队FT Labs创始人及主管Andrew Betts发布,IDF实验室志愿者童进翻译,章典校对。
