"黑客"故事

发布时间：2021-08-04 12:10:49来源：E安全

前情提要

“黑客”讲述：如何轻松地使用英国顶级高尔夫俱乐部的计算机网络打出一杆进洞的故事。

凭借在警方网络犯罪和数字取证部门14年的经验，我现在审查和分析企业面临的潜在网络威胁，这能够了解犯罪黑客，有助于揭示他们的思维方式，从而为组织提供更好的保护。

在这一点上，我需要添加一点免责声明。当我在迷人的英国乡村，在这个美丽的球场开始我的冒险之旅前，俱乐部所有者授予我完全的访问权和许可，可以去任何我想去的地方，做我想做的任何事情——当然，在合理的范围内！

虽然我熟悉一个优质高尔夫球俱乐部的环境、行话和着装，但我需要了解有关工作人员和这个俱乐部的一切知识，这时候Google就是你最好的朋友。凭借我的在线调查结果和一些优质技术，我非常有信心可以在这个高尔夫场所玩得开心。

我决定冒充电视助理制片人，要求对一个新广告进行侦察访问，并要求拍一些照片向我的制片人报告。我提前一周给俱乐部打电话，告诉他们我的背景。业务发展经理接听电话并且非常喜欢这个主意，兴奋地邀请我在接下来的一周参观俱乐部。

01

黑客的开始

我在一个阳光明媚的早晨到达球场，并在早上9点刚过就直接前往接待处，配备了我的笔记本电脑、USB驱动器、数码单反相机和一件值得信赖的记者夹克。在与那位业务发展经理会面后，我带着相机走了一个小时，并拍了一些照片。

回来时，我给他看了照片，问我是否可以使用他们的私人Wi-Fi，这样更安全，并要求提供密码，他们都给予提供。然后我声称忘记了一些需要签署的文件，所以我问他是否可以将我的USB驱动器插入他的计算机以打印一份授权书。他答应了，甚至说：“我通常不会让我不认识的人这样做，但因为是电视媒体，我会破例。”

就在那时，我目睹了真正的惊人的一幕，他们还在使用WindowsXP！对该操作系统的支持于2014年停止，并且在连接到Internet时非常危险，所以在这个场地看到这一点让我震惊甚至害怕。更糟糕的是，XP运行在这个公共的机器上，他们的销售点软件已经打开了！由于所有财务和敏感数据都通过该设备运行，如果它成为目标，将导致非常危险的结果。

我假装我需要打印的文件已从我的USB中丢失，我提出通过谷歌表单发送一份虚假的预发布表格，以便从他那里获取一些额外的个人信息，以及他的一个密码。他立即点击了这个链接并填写了它。然后他接了一个电话，让我可以完全访问另外两台机器，没有人看着我。

通过访问Wi-Fi密码、USB驱动器以及无人监督的机器，我可以完成我能想到的任何漏洞利用。从在机器上安装远程访问木马或键盘记录器，到在网络上放置其它恶意软件（例如勒索软件）以要求付款、解密数据，这都是黑客的乐趣！

让自己的工作站无人监管和解锁，在任何工作场所都是一种危险，特别是在公众可以简单地走进去并与其它安全失职相结合的位置时，让我意识到有些企业在安全方面仍然远远落后。

当然，我实际上并没有利用这家高尔夫俱乐部的网络，但吸取的教训至关重要，而且严重性令人担忧。我可以完全访问网络上的个人、敏感和财务数据等信息。如果受到损害，GDPR对泄露此类个人信息的罚款可能是灾难性的。加入高尔夫俱乐部需要交出大量信息，因此如果俱乐部丢失这些数据，后果将非常严重，而且受害者不止一个。

02

游戏的结果

如果绕过网络安全基础，手头的邪恶任务会容易得多。一件记者的夹克就有助于达到目的。

利用弱者或脆弱者正是威胁行为者的擅长之处，因此我们都需要远离高尔夫球场，开始关注这些弱点在我们的业务中可能导致的问题。

向高尔夫俱乐部的老板汇报时，他有些震惊，但同样不意外。他自己说，他从没想过有人会入侵他的业务，并错误地认为犯罪黑客会穿着连帽衫追捕大公司。然而事实是，每家企业都是潜在的目标，如果它们仍然如此容易被渗透，它们将仍然是黑客的最佳选择。

推荐阅读：

注：本文由E安全编译报道，

转载请注原文地址https://www.easyaq.com