互联网使人们很容易找到公共信息,例如固定电话号码或邮寄地址。一旦知道某人的名字,就不必再翻阅冗长的电话簿,网络搜索早已取代了这些。但是doxxing不仅仅是得到这些“概要信息”。使用doxing的攻击者经常会向公众泄露您的真实身份或一些私人信息,例如私人地址、电话号码、社会安全号码,甚至一些关于孩子和信用卡的信息。这有点像身份盗用。通过doxxing获取一些不为人知的信息的人,总会不择手段地挖掘一切。诸如跟踪目标的社交媒体资料、寻找宠物的名字、甚至娘家姓或其他可能用于猜测密码或回答安全验证问题的线索。然而,与身份盗窃不同的是,这种行为的目的通常是报复、骚扰或羞辱,而不是简单地寻求经济利益。因为一旦受害者的个人信息被公开,其他互联网用户将如何处置他们就不得而知了。“Doxxing”也可以拼写为“doxing”,是指利用互联网发布、收集个人隐私信息,然后将这些信息发布到网上(也就是我们通常理解的“人肉”)。这个词来源于“文档”一词,它是“droppingdox”的缩写,这是一种可以追溯到1990年代初期黑客文化的报复方法。然而,当doxing以企业部门为目标时,攻击者不会因为攻击成本而感到沮丧,因为潜在的经济回报要大得多。为了尽可能多地收集公司机密信息,攻击者在攻击个人用户时使用的方法比以前更加多样化,我们将在本文中对此进行讨论。从公开来源收集有关公司的信息攻击者可以采取的第一个也是最简单的途径是从公开访问的来源收集数据。Internet可以为攻击者提供各种有用的信息,例如员工的姓名和职位,包括在公司担任重要职位的员工。这些关键职位包括首席执行官、人力资源总监和总会计师。例如,如果LinkedIn显示一家公司的CEO是总会计师或人力资源主管的“朋友”,他们也是他们的直接下属的朋友,那么攻击者只需知道他们的个人姓名层次结构并使用此信息就可以轻松识别公司用于后续攻击。在Facebook等不太专业的社交网站上,许多用户会列出他们的工作地点,但也会发布大量个人信息,包括随意的照片以及他们去过的特定餐厅和健身房。你可能会认为这种信息对攻击公司没有用,因为这些个人信息实际上与公司无关,也不包含可能损害公司或帐户所有者的数据。然而,通过下面的解释,你会惊讶地发现这些信息对攻击者有多大用处。使用可公开访问的数据进行攻击:BEC员工的个人信息实际上可以用来设置BEC攻击,BEC(商业电子邮件妥协)是针对企业部门的有针对性的攻击,攻击者伪装成各种员工(包括他们的上级),或合作伙伴公司的代表,开始与组织的员工进行电子邮件通信。攻击者这样做是为了在最终说服受害者执行某些操作(例如发送机密数据或将资金转移到攻击者控制的帐户)之前获得受害者的信任。最新发布的《2020年互联网犯罪报告》显示,2020年企业电子邮件泄露(BEC)诈骗给企业造成的损失超过18亿美元。根据FBI公布的统计数据,BEC攻击造成的损失是勒索软件造成的损失的64倍。报告显示,2020年FBI接到的投诉数量和经济损失创下新高。互联网犯罪投诉中心(IC3)去年收到791,790起投诉,比2019年增长69%,造成的损失超过40亿美元。虽然勒索软件往往占据网络犯罪的头条新闻,但与商业电子邮件欺诈造成的损失相比就显得微不足道了。虽然大多数投诉是针对网络钓鱼、不付款/不交付诈骗和敲诈勒索,但大约一半的损失是由于商业电子邮件欺诈(BEC)、信托欺诈和投资欺诈造成的。Agari威胁研究高级主管CraneHassold说。“勒索软件是最受媒体关注的话题,但仅占网络犯罪损失的1%。BEC占去年所有网络攻击损失的37%。这是一个离谱的数字。鉴于‘欺骗’可能是BEC的一部分,所以总损失接近21亿美元。”攻击者一般通过鱼叉式钓鱼、社会工程学、恶意软件等方式进行攻击,他们会提前做足功课,了解受害者的基本信息,了解高管,了解公司的组织结构和报告流程机制。针对目标、冒充谁、如何说、何时说等,攻击者可以如此无缝和真实地编造电子邮件诈骗,以至于受害者很难发现和识破。例如,在一家大公司的简介页面上,一名员工发布了一张无辜的海洋照片,并评论说他还有三周的假期。几天后,该公司的会计部门收到一封来自一名休假员工的电子邮件,要求将他的工资存入另一家银行的卡中。邮件发件人要求他们尽快处理此事,并解释说他无法接听任何电话,因为他生病了,无法在电话中讲话。更改银行详细信息的BEC攻击毫无戒心的会计师会要求用户发送他的新银行详细信息,在收到此新银行详细信息后,会计师更改系统中员工的数据,一段时间后付款将发送到新银行帐户。BEC攻击是一种收集数据的手段,但如前所述,BEC攻击也可以旨在获取机密信息。根据员工的职位或攻击者所冒充的合作伙伴的重要性,他们可以获得对合同或客户数据库等相当敏感的文档的访问权限。此外,攻击者可能不限于单一攻击,而是可以使用获得的任何信息来追求更大的目标。泄露的数据,无论是不小心还是出于恶意目的,最终都会成为公共领域的机密文件,这也可以帮助攻击者获取公司的信息。在过去几年中,与存储在云中的数据相关的数据泄露事件显着增加。这些违规行为大多发生在AWS简单云存储系统(AWSS3)上,由于其广泛流行和配置简单,因此没有任何信息安全问题。特殊知识。这种简单性最终会对AWS中称为“存储桶”的文件存储库的所有者构成危险,这些文件存储库通常会因不正确的系统配置而损坏。例如,2017年7月,由于存储桶配置不当,1400万Verizon用户的数据被泄露。跟踪像素攻击者可以使用多种技术来获取与其特定目标相关的信息。其中一个技巧是传播包含跟踪像素的电子邮件,通常伪装成某种类型的“测试”消息。该技术允许攻击者获取邮件打开时间、收件人邮件客户端的具体版本和IP地址等数据,这有助于找到收件人的大概位置。使用此信息,网络犯罪分子可以建立特定人员的个人资料,然后他们可以在后续攻击中冒充此人。具体来说,如果骗子知道员工的日程安排和时区,他们就可以选择最理想的时间进行攻击。这是一个通过使用跟踪像素进行人肉搜索的示例,其中一家大公司的首席执行官收到了一条所谓的“测试消息”。带有跟踪像素的示例测试消息消息在不同时间从不同域到达。有些在工作日的高峰时段出现,有些则在深夜出现。后者是该公司CEO上任后几乎立即开辟的。这些“测试消息”持续到达大约一周,然后突然停止。首席执行官认为这是一个笑话,很快就忘记了。然而,很快人们就发现,该公司将数百万美元转入了一家外部公司的地址。调查显示,自称是首席执行官的人曾多次发送电子邮件,要求该公司的会计师立即支付外部公司提供的服务费用。这种情况与称为CEO欺骗攻击的BEC攻击的变体相匹配,在这种攻击中,攻击者冒充组织的高级管理人员。用于发起CEO欺骗攻击的电子邮件示例在这种情况下,攻击者通过使用包含跟踪像素的“测试消息”找出目标的工作时间表,他们不仅将这些消息发送给CEO,还发送给特定的会计人员.然后,他们可以在CEO联系不上但会计部门已经在线的理想时间请求代表CEO转账一大笔钱。网络钓鱼尽管具有欺骗性的简单性,但电子邮件网络钓鱼和其他恶意攻击仍然是网络犯罪分子用来获取公司数据的一些主要工具,并且这些攻击通常遵循标准方案。公司员工的电子邮件地址收到的消息模仿来自SharePoint等业务平台的典型通知,紧急要求员工点击链接阅读重要文档或执行其他重要操作。如果员工确实听从了电子邮件的建议,他们最终会进入一个包含欺诈表格的网站,以输入他们的公司帐户凭据。如果员工试图登录此虚假资源,则该登录名最终将落入网络钓鱼诈骗者之手。如果业务平台不仅可以从公司网络内部访问,还可以从外部访问,攻击者可以使用员工的帐户登录该资源并收集他们需要的信息。要求员工点击链接阅读传真消息的网络钓鱼电子邮件示例针对组织的第一波攻击也可能是旨在劫持员工个人帐户的网络钓鱼策略,其中许多人是社交网络上同事的“朋友”在流行的Messenger中与他们保持联系,其中可能包括有关工作相关问题的讨论。通过获得对员工帐户的访问权限,网络犯罪分子可以巧妙地诱骗员工的联系人泄露公司信息。幸运的是,大多数安全产品都能快速检测到简单的群发电子邮件网络钓鱼,而且越来越多的用户开始意识到这种攻击。然而,攻击者正在诉诸更高级的攻击方法,例如通过电话进行网络钓鱼以获取数据。移动网络钓鱼与典型网络钓鱼攻击之间的主要区别在于,攻击者诱骗受害者通过电话而不是通过网络钓鱼网页向他们提供机密信息。他们还可能使用各种方法与受害人建立联系。例如,如果员工联系人数据库最终落入他们手中,他们可以直接呼叫特定员工或在整个公司内拨打电话,或者他们可以传播电子邮件要求员工拨打特定号码。后一个示例更有趣,因此我们将详细讨论该方法。让我们研究一下这种攻击的潜在场景,其中一名公司员工收到一封来自假冒大型服务提供商(例如Microsoft)的电子邮件,该提供商专门设置为官方邮件。该消息包含要求受害者快速做出决定的信息。攻击者还可能试图恐吓收件人。下面的示例说明了从受害者的计算机访问儿童色情内容。为了解决这个问题,攻击者要求员工拨打特定号码联系技术支持。如果受害者真的拨通了特定的电话号码,攻击者就可以伪装成微软技术支持人员,诱骗受害者泄露用户名和密码,从而获得对公司内部系统的访问权限。发起电话网络钓鱼攻击的电子邮件示例攻击者通常伪装成技术支持人员或公司IT部门的代表,以获得员工的信任。这正是2020年夏天Twitter被黑客攻击时使用的技术。来自TwitterSupport的有关该事件的消息。能够访问公司内部系统的Twitter员工接到了据称来自IT部门的电话。在这些对话中,攻击者使用社会工程技术不仅获得了对公司内部网络的访问权限,还使用了Theyare工具来管理Twitter用户帐户。结果,许多名人的页面上出现了虚假信息,向读者承诺,如果他们转账到特定的比特币钱包,他们将收到双倍的金额。Twitter上的恶作剧消息示例传统的黑客攻击涉及收集特定个人的数据,也可用于针对组织的更大规模攻击。正如我们之前提到的,攻击者可以根据从社交网络上可公开访问的帖子中获得的特定信息来使用BEC攻击。然而,这并不是doxing的唯一潜在攻击,特别是在有针对性的数据收集的情况下,攻击者不仅限于公开可用的数据源,而且实际上会损害受害者以获得对私有内容的访问权限。用户的帐户。身份盗用对个别员工进行人肉搜索的结果之一可能是他们的身份被盗。在身份盗窃的情况下,攻击者可以散布虚假信息,导致公司声誉受损,有时甚至造成经济损失,尤其是如果这些信息是由高级员工提供的,他们的陈述可能会引起严重的丑闻。让我们假设一个涉及身份盗用的潜在攻击场景,其中攻击者在尚未注册的社交网络(例如Clubhouse)上为其目标公司的高级经理创建一个虚假帐户。该账号参与了大量用户的讨论,不断发表挑衅性言论,最终被媒体报道。结果,公司的股票可能会贬值,潜在客户开始转向公司的竞争对手。本文翻译自:https://securelist.com/corporate-doxing/101513/
