人,才是關鍵
就這樣,如同對付Prince與CloudFire,Cosmo一一拔除UGNazi的眼中釘,戰績彪炳。
他會先一點一滴四處蒐集資料,從眾多網路服務中擷取地址、信用卡號碼等各式文件數據,直到發動攻擊所需資訊萬事皆備。他經常冒充其他部門人員,打電話給公司的技術支援系統部門,Cosmo會事先調查好公司後端系統的內部細節,以增加成功機率。
「我有個朋友在一台Netflix電腦安裝遠端存取工具,當Netflix員工不在電腦旁,他就可以接掌那台電腦。用這個方式他抓了一堆螢幕截圖,發現支援軟體名叫Obiwan。」Cosmo沒有任何Netflix的IP地址,所以他無法使用Obiwan,但這無關緊要,他只需要知道後端系統的樣貌。
「你得假扮成Netflix的代理人,打電話過去說『嗨,我是Derek,這裡是Netflix加拿大分部。我有個關於Obiwan的技術問題,你可以幫我查些東西嗎?』然後你報上電子信箱、姓名、帳單寄送地址,接著就會問到後四碼,最後你只要再打回去,重設密碼,完成。」
這就是Cosmo做事的祕辛。
當他裝成員工打給公司,不光愣在電話中等待對方給答案;他主動給予所有他獲知的細節,如果他已拿到四片拼圖中的三片,不等電話那頭出聲,他就直接一股腦說出他所掌握的資訊。
Cosmo假裝對公司系統知之甚詳,卸下對方心防,有時Cosmo甚至提供技術支援部門不需的訊息;假若技術支援部門只問郵遞區號,他會回答完整的地址,如此一來,顯得他的態度更加熟稔自然,減少被懷疑的機會。
這,實在稱得上十分經典的社交工程。他聳肩笑著說:「裝成代理人幾乎可以對任何公司產生作用,除非對方接受過訓練,否則多數人都會被矇騙,大部分公司並未針對員工進行提高警戒心的培訓。」
Cosmo有時還是會用到極為複雜的技術,涵蓋多重層級的社交工程,譬如入侵PayPal就費了他不少苦心。
撬開PayPal帳號的大門,社交工程師就進入了一座資訊寶庫。只要登入某位用戶的PayPal帳號,他的信用卡末四碼、銀行帳戶、目前的帳單寄送地址就在眼前一清二楚。有了這些資訊,就能輕而易舉重設其它網站的密碼。更可怕的是,一旦進到某人的PayPal帳號,你就可以恣意擷取裡面的資料。
Cosmo解釋竊入PayPal的來龍去脈。
「首先你需要增加一個銀行帳戶,先從Fakenamegenerator.com弄到假身分,就可以在eTrade.com申請虛擬銀行帳戶。」
《Wired》證實Cosmo所言不假。除了Fakenamegenerator生成的假資料派上用場,PayPal還要求我們鍵入駕照號碼,因此我們又去另外一個網站弄到這串資料,結果真的建立了一個線上銀行帳戶。
「你打給PayPal,你要的是最後一片拼圖。這可以從亞馬遜拿到,或假冒PayPal代理人。他們從信用卡末四碼存取你的帳戶,你告訴他們你想要增加一支電話號碼,你給的是Google Voice的號碼,接著你說,我也想要新增一個我剛申請的銀行帳戶,他們便會照作。」
「然後你掛斷電話,到PayPal的網站,點進『重設我的PayPal帳戶』,它會傳送認證資訊到電話號碼,並要你出示末四碼。你選擇Google Voice號碼,接到PayPal撥出的電話後,就到認證頁面,輸入你用E-Trade假造的銀行帳戶,到了下一步,它就會准許你建立新密碼。」
《Wired》複製了Cosmo的技巧,確實奏效。我們向PayPal揭露這個問題,該公司這才彌補了安全漏洞。PayPal通訊總監Anuj Nayar表示,這是產品測試造成門戶意外洞開,但這是暫時性的問題,現在已獲解決。PayPal聲明過後,《Wired》接下來的測試發現此事為真,雖仍能為帳戶添加電話號碼,不過PayPal不再傳送重設密碼的資訊,除非帳戶所有人確實登入驗證這支電話。
鋃鐺被捕
警察趕至家門口時,Cosmo還在呼呼大睡。
警官與探員偕同長灘警局到他家進行搜索,帶走他的三台小筆電(netbook)和iPod Touch。Cosmo被銬上手銬,警方不准他換掉前一晚穿的T恤和短褲。而後他被羈押在加州Los Padrinos的少年看守所內,度過兩天。
Cosmo奶奶的家也沒能倖免。她說:「那時我在廁所,聽到有些人在講話,我打開門,看到有個警察就站在廁所門口,他就站在這扇門內側,我嚇死了。他抓住我的手臂,叫我過來坐下,我坐下後,有三個警察就站在那裡,就站在那裡。我嚇壞了,有些警察走過來,帶著Derek,他戴著手銬。」
Cosmo懷疑警方的搜捕行動跟UGNazi洩漏50萬筆WHMCS(域名主機管理軟體,服務包括客戶管理、帳單與支援解決方案)信用卡資料脫不了干係,但應該與CloudFlare無關,不過使UGNazi登上FBI緝捕名單的,就是CloudFlare駭客攻擊事件。儘管如此,Cosmo還是對Prince以及所有因他開創性的方式導致帳號損失的用戶表達了歉意。
「在攻擊前,我撥電話給Matthew Prince,我想通知他有這回事。我用AT&T Relay打給他,但他掛我電話,我只是要讓他知道『你的網站快要被駭了』,Josh無論如何都會這麼做,但是……」
Cosmo真的曾設法警告Prince嗎?Prince證實他當夜確實接到幾通透過AT&T Relay打來的電話。雖然提出警告似乎很牽強,但也不是那麼令人匪夷所思。
就拿我自己被駭的經驗當例子,Cosmo被逮捕很久之後,他完全失去破壞能力,但還是想辦法得知這件事情,並且試著透過我們兩個在Twitter上的共同追蹤者Mikko Hypponen警告我即將遭殃。雖然太遲,不過至少,他盡力了。
他向我坦白一切的原因究竟何在?為何他在受審前一點也沒有想為自己脫罪的跡象,也令人百思不解。Cosmo最後透過駭我的傢伙Phobia跟我接觸上,Phobia說,Cosmo想要告知我特定AOL帳號的漏洞;從我幾週前與Cosmo開始聯繫至今,他都堅持這就是他與我談話的動機。
Cosmo口中所述盜用AOL使用者帳戶的方式,簡直易如反掌得叫人萬分詫異。更糟的是,多名駭客指稱,AOL的漏洞存在已經很久,而且眾所週知。簡而言之,要竊佔某個人的AOL電子郵件,只需要他的姓名和地址。
想要重設免費AOL電子郵件或即時通訊帳戶的密碼,撥通電話給技術支援工作人員,給他姓名和郵遞區號就可以了;至於付費帳戶,對方也只是要你的地址或信用卡末四碼。
Cosmo邊喝瓶裝水,邊漫不經心的向我描述這個行動。我瞪著他。
「是啊……你只要那樣做就夠了。」
《Wired》親自證明即使無法答出帳戶安全提示問題,還是能重設密碼,無論免費或付費帳號,有某幾次試驗,我們甚至故意說出錯誤的答案而依然有效。我們通知AOL這個漏洞後,該公司迅速關閉以電話進行密碼重設的途徑。
AOL電子郵件與手機部門資深副總裁David Tempkin透過電郵告知《Wired》:「我們仔細調查此事,並且找出電話協助程序有所疏失,我們立刻處理問題,從今開始,AOL使用者已經受到更嚴密的保護,利用電話重設密碼盜用帳戶的事件不會再重演。」
Cosmo造成的直接影響是,PayPal與AOL改善了它們的帳戶安全網。但對我而言,這只增添了他的神祕感。
我很納悶Cosmo所說的一切有多少屬實。我唯一能確認的是,網路安全只是虛幻不實的假象。不過我想他現在很誠實,我認為他真心感到悔恨,他只不過是希望,在任何人的網路身分證明被竊取之前,在任何人莫名被SWAT破門而入之前,彌補他自己發現或協助公諸於世的帳戶漏洞。至少,我相信這點。
但話說回來,他仍是個,超級大說謊家。
from WIRED.tw http://wired.tw/2012/10/03/cosmo-the-god-who-fell-to-earth-3/index.html