2013年5月2日 星期四

從美聯社 Twitter 帳號被入侵事件 看推特為何一直被駭?


從美聯社 Twitter 帳號被入侵事件 看推特為何一直被駭?

我想你們一定看過這幾個月的新聞,發生了好幾起高調的推特(Twitter)駭客事件,包括了知名品牌,如Jeep,漢堡王(Burger King),以及最近的美聯社(AP)。一般不是很懂電腦的人可能會出現下列的疑問:

●這些帳號為什麼及如何被駭客攻擊的?這些企業不是應該都會設定又長又複雜的密碼來保護自己的帳號嗎?
●如果他們不能持續維護自己的安全,我將會遇到什麼?
●什麼是雙因子認證?我一直聽說這會讓我更安全。



推特帳號一直會被駭的原因

推特帳號一直都有被駭事件的原因很多。可能只是簡單地因為有人為了好玩去散播謠言,也可能是惡毒的想要抹黑特定個人或公司。這可不僅僅是傷害到這公司或個人,在某些案例裡,像是美聯社的帳號被入侵,就實際地讓美國股市出現短暫的下跌。而正如你可以想像的,這樣一個短期波動可是在股市獲得巨大利益的機會。

圖說:媒體報導駭客入侵美聯社推特 美股暴跌消息(截圖來自 中時電子報)
圖說:媒體報導駭客入侵美聯社推特 美股暴跌消息(截圖來自 中時電子報)

推特被駭也凸顯出關於密碼安全一個更大的問題。你可以使用有史以來最長、最複雜的密碼,但如果你點入一個惡意連結或偽裝成推特的網站讓你輸入密碼,基本上這就已經跳過任何密碼的安全性,直接把密碼交到壞人手上。

常見的社交工程伎倆

這是今天在推特上一個令人難以想像常見的社交工程陷阱( Social Engineering)伎倆。透過從你關注的一個被駭帳號發送「私人訊息」給你,網路犯罪份子就可以駭入你的帳號。這訊息可以裝得非常簡單:「嘿!我看到你這個有趣的畫面!」然後,它會連到一個惡意網站。這種戰術在過去已經被廣泛成功地運用在電子郵件病毒上,今日轉移陣地到社群媒體上也是一樣的成功。

另一種常見用來竊取你密碼的方式,就是去入侵並不具備推特安全控管等級的網站或服務。如果你在多個服務上都使用相同的密碼,就可以利用自動化工具,很快地在多個網站和社群媒體服務上嘗試這偷來的帳號/密碼組合。

那麼我們該如何在這種威脅下保護自己?

你有許多方法可以用來保護自己的社群媒體帳號不被侵入。簡單的第一步就是在每個服務都使用不同的密碼。你可能會想,「讚,但是我沒辦法記住所有的密碼。所以這並不實際!」我完全同意你的看法。

雙因子身份認證

大型的社群媒體現在所提出的另一個解決方案是雙因子認證。雖然科技宅可能都很熟悉這一技術,一般的電腦使用者可能只是聽說過它,但卻不知道它是如何運作或設定的。我要試著來解開這謎團…

雙因子身份認證(也稱為多因子認證),就是當你登錄服務時,需要提供兩個或多個已知東西的方法。今天最常見的實現方式,就是不只是提供密碼,或許還要回答一兩個應該只有你自己知道答案的問題,像是一年級老師的名字。

雖然理論上聽起來很不錯,但是任何半調子的社交工程師都可找到你的這些資訊和回避它。另一個實現雙因子認證的方式,同時也是我覺得最簡單的方式,就是利用一個你會隨身攜帶的東西來提供你一組唯一的號碼。而大多數人隨身都會攜帶的東西,最好的例子就是可信賴的手機!

它是如此運作的…

當你登錄帳號,你會輸入使用者名稱和密碼,但第二個密碼會經由簡訊傳送給你。這組號碼是每當你從新的瀏覽器、設備或電腦登入時,都會產生的一組獨一無二的號碼,你也必須將這組密碼輸入,不然將無法登錄成功。這方法最棒的地方在於,就算你的密碼被偷了,壞人還是無法登錄,除非他們拿到你的手機!

這是一種Google和臉書都已經推出的安全技術,我也強烈建議你要使用。因為許多起高調的推特駭客事件,他們也宣布很快就會推出雙因子認證。

最後的忠告

在網路上要隨時保持懷疑的態度。如果任何事情好得太不真實,那它可能就有問題。如果你從某個不熟或是意料之外的人收到私人訊息,也該產生懷疑,也許可以打電話給他,看看他們是否真的送你一個奇怪的連結會連到你的照片。

原文出處:What the Hack is Going on with Twitter!? 作者:Jamie Haggett
轉載自《雲端運算與網路安全趨勢部落格》

沒有留言:

張貼留言