MGM网络攻击显示黑客如何利用社会工程学-彭博社

在许多方面，这是一次普通的对话。一个在IT帮助台工作的员工接听了一个电话，自我介绍并问道，“这是关于新的工单还是现有的工单？”电话那头的人听起来像是一个二十多岁的美国人，解释说他在登录账户时遇到了问题。“我不知道如何重置我的密码，所以我打电话是为了今天重置密码。” 电话那头的人提供了他的名字，与在职员工的名字相符。

“账户应该没问题，”电话那头的人补充道。“我的意思是，我没有锁定它，只是密码问题。”

“明白了，”帮助台员工回答道。“是的，我可以帮你重置。”

就这样，这位员工不知不觉地被Scattered Spider的一名成员欺骗了，一个臭名昭著的黑客团伙，据信是最近对 MGM度假村国际、 凯撒娱乐、Coinbase等进行攻击的幕后黑手。（知情人士透露了通话的细节，但要求在讨论机密事项时不透露姓名。）这个团伙，一些安全专家也称之为UNC3944，擅长“社会工程”——这是欺骗某人提供可用于非法手段的信息的专业术语，比如入侵计算机网络。在国家和大型企业正在抵御高度复杂攻击的时候，Scattered Spider的成功表明，基本的方法仍然有效且难以防御。

在网络安全公司Mandiant的首席技术官查尔斯·卡马卡尔观察到的一种模式是，帮助台电话呼叫符合这种模式。卡马卡尔表示，他已经听过一百多个Scattered Spider黑客的音频录音，试图通过欺骗性电话呼叫来欺骗客服代表和IT工作者。他说，一些黑客“非常咄咄逼人”，让呼叫中心的员工“感觉自己要被解雇或惹上麻烦”。

一旦黑客获得立足点，他们通常会花费“相当长的时间”搜索文件、资源和内部聊天记录，以找到提升权限并留在受害者网络内的方法，Mandiant称。

Scattered Spider于2022年出现，网络安全公司Crowdstrike Holdings Inc.已将至少52起网络攻击归因于该组织。据信，其成员位于美国和英国，有些年仅19岁。Coinbase Global Inc.的首席信息安全官杰夫·隆格霍弗表示，他多次遇到他怀疑是Scattered Spider的黑客。“他们是年轻、口才流利的男性，”他说。“反应迅速，甚至风趣。”

隆格霍弗详细描述了怀疑是Scattered Spider的黑客向十几名Coinbase员工的个人手机发送短信，提供一个虚假链接到公司门户，并敦促他们登录以接收重要的公司消息。一名员工按照指示操作，无意中提供了黑客的用户名和密码。由于Coinbase要求多重身份验证，黑客无法进入员工的账户。然而，一名黑客并未气馁，不久之后打电话给了员工。声称自己是IT人员，黑客说服这个人提供了一些同事的联系方式。

没有资金损失，也没有客户信息在攻击中泄露，公司表示。尽管如此，这是一个警示故事，正如Lunglhofer在2月17日的博客文章中指出的那样。他写道：“如果你认为自己不会被精心策划的社会工程攻击所愚弄 - 你在开玩笑。”

在年度Def Con黑客大会上，现在每年都会举办一场比赛，黑客专家们在一个隔音箱里评判竞争团队的社会工程能力，他们竞相入侵一家公司。参赛者被告知他们的目标 - 今年的目标是一家著名的披萨连锁店 - 并被给予两个月的时间进行研究，包括查找电话号码和有关公司技术系统的详细信息。由IBM和总部位于加利福尼亚的安全公司Proofpoint赞助，比赛对伦理问题有严格的规定，包括不公开命名目标。使用威胁性语言并从员工那里提取个人可识别信息也是被禁止的。

Def Con黑客大会上参赛者使用的隔音间。来源：Jason Puglisi在今年的比赛中，26岁的应用安全工程师Jason Puglisi，一名来自Block的员工，带着一部加载有50页报告的iPad走进了隔音间。他假装是一名IT工作人员，通过说服接待员告诉他保安的轮班时间、如何更换安全徽章以及办公室使用的技术来获得分数。“每个人都是脆弱的，真的只需要在某人心情恰到好处或者他们感到有压力的时候抓住他们，”他说。

有时候普格利西不得不偏离剧本，比如当他联系到的人说他们只是临时填补，可能帮不了他。“当我告诉他们他们同样可以帮助我的时候，他们感到受宠若惊，分享了我要求的一切，”他说。他在2022年获得了比赛冠军，之前曾获得第二名。

普格利西在八月赢得Def Con比赛后。来源：DEF CON通讯公司和组织并非无法抵御社会工程攻击。David Bradbury，Okta Inc.的首席安全官，他的客户曾受到据信来自Scattered Spider的攻击，建议呼叫中心限制重置高特权账户密码或多重身份验证权限的员工数量，仅限于少数备受信任的员工。Coinbase的Lunglhofer表示，他的公司现在要求员工使用一种提供额外认证的小型USB类型安全设备登录。

公司保护自身的另一种方式是对自身系统进行压力测试。Scott Melnick是Bulletproof旗下的安全研究与开发部门负责人，该公司隶属于Gaming Labs International，多年来一直为赌场和游戏公司提供建议，涉及网络安全和软件开发。去年夏天，他成功侵入了一个赌场现金柜台的计算机网络，顾客在那里领取奖金。另一次，他注意到一个赌场地板上收银员柜台后面有一个以太网端口，趁没人注意时插入了设备。

黑客可能利用这种访问权限安装一个微型设备，允许远程访问网络，Melnick说。他最终被一个怀疑的收银员揭露（他在报告中推荐她晋升）。Melnick说，让员工对安全保持警惕很重要，公司应该让外部人员测试他们的防御措施，并让员工保持警惕。“当员工知道这种情况发生时，他们会对每个电话都持怀疑态度，”他说。 —与 Katrina Manson**阅读下一篇： 汽车盗窃案的增加让专家寻找弱点