別嫌Google驗證太麻煩！25歲俄人只靠發mail就改變美國大選

網路釣魚是從看似可信的來源寄出詐騙信，引誘收信人交出個人資訊；魚叉式網路釣魚是針對性的網路釣魚，對特定的人寄出詐騙信，且通常會提起私人資訊以提高可信度；而「網路捕鯨」則是野心更大的魚叉式網路釣魚，針對高價值目標寄出詐騙信，誘使他們洩漏意義重大的資訊。

2016年3月，奇幻熊寄了安全警告給希拉蕊的競選團隊主任波德斯塔（John Podesta）。身為比爾．柯林頓的總統顧問，又創辦了自由派智庫美國進步中心，波德斯塔應該是民主黨最精明、人脈最廣的人物之一。當然，俄羅斯人一定對他的信箱很有興趣。

「奇幻熊」這個名字取自資安公司CrowdStrike共同創辦人阿爾佩羅維奇（Dmitri Alperovitch）設計的代號系統。動物表示駭客集團在哪個國家運作：俄羅斯是熊、中國是貓熊、伊朗是貓、北韓是千里馬。

奇幻熊是俄羅斯軍情局格魯烏底下的數位諜報部隊。至於格魯烏，眾所皆知是俄羅斯最囂張的情報部門。俄羅斯反對派政治人物古德科夫（Gennady Gudkov）曾說格魯烏自認是「最有種的壞蛋」。

一收到信後，波德斯塔馬上把它轉寄給競選總部的資訊服務台，確認它是否來自官方。而IT總監戴勒文（Charles Delavan）回覆：「這封信是『官方信件（legitimate）』。」

主旨：有人已取得您的密碼

莎拉：這封信是官方信件。約翰需要立即變更他的密碼，並確保他帳戶的2步驟驗證已開啟。2件事都可以從這個連結來執行：https://myaccount.google.com/security

這絕對是須盡快完成的事。

如果你或他有任何問題，請致電4105629762聯絡我。

這次回信或許是資安史上最大慘案。一般政治工作者被俄羅斯情報人員唬弄並不稀奇；但一個IT總監在工作日被一封釣魚信件騙到就很誇張了。

戴勒文一點頭，波德斯塔的員工就點進了詐騙信裡的連結，而不是戴勒文在回信中附上的連結。於是，他們進入了假的Gmail網站，輸入波德斯塔的密碼。奇幻熊像從蜂巢掏蜂蜜一樣，挖空整個收件匣，下載了超過五萬封電子郵件。

戴勒文告訴《紐約時報》的辯辭是，他寫信時打錯字了。然而，這種解釋根本沒什麼說服力，被問到為什麼不直接警告波德斯塔不要點連結時，戴勒文傻傻回答：「呃，事後來看，我當初似乎真該這樣講。」

人們常把奇幻熊對民主黨發動的網路攻擊，稱作「民主黨遭駭事件」，不過「遭駭」（hack）這個說法有誤導之嫌，因為它讓人以為駭客的行動跟搶劫、槍擊一樣，是單一行動。但這其實是個漫長、混亂的過程，資安專家用軍事術語「擊殺鏈」（Kill Chain）來形容。

帶領行動的是盧卡舍夫（Aleksey Lukashev），他年僅25歲，任務是編造假信件和設計假網站，警告並敦促他們點下連結更改密碼。

盧卡舍夫得知希拉蕊團隊使用Gmail，他也知道其他伺服器很容易被Gmail的過濾程式擋下。但他不斷挑戰測試，寄了無數捏造的信件到他自己的帳號，看看哪一封可以闖關成功。後來，盧卡舍夫又盯上Bitly.com，一個常見的縮網址服務。

他在每一封郵件裡附上簡潔的新網址，並寄送偽造的警告信到自己的帳號進行測試。測試想必很成功，因為不久後，他就接連寄了29封釣魚信給hillaryclinton.com。

盧卡舍夫這次撒餌似乎有釣到一些東西，因為隔天他又寄了21封電子郵件。儘管如此，釣魚訊息卻沒有發揮效果。因為希拉蕊的競選團隊採用兩步驟驗證，並在30天後刪除郵件，也有訓練工作人員辨識釣魚攻擊。

4天過後，盧卡舍夫又寄出了相同的21封釣魚信，還是沒效。儘管沒有成功破解任何帳號，盧卡舍夫卻也慢慢蒐集到一些競選總部高層的私人信箱，於是，他瞄準高層人員的私人信箱帳號投出魚叉。

6分鐘後，夾帶有毒連結的釣魚訊息送到。連結被點了2次，推測1次是戴勒文、1次是波德斯塔的員工。接著，就像我們所知道的一樣，戴勒文犯的蠢導致俄羅斯人大豐收。

戴勒文的反應之所以這麼災難，最重要的原因就是波德斯塔的私人信箱沒有使用2步驟驗證。如果他更小心一點，奇幻熊不可能進入他的帳號，因為俄羅斯駭客不可能通過第2個驗證步驟。

波德斯塔的收件匣充滿各種敏感資訊，根本是魚叉專用的百寶箱。於是，新一波釣魚信件又像彈幕一樣撒得滿天都是，擊向選舉團隊的公關總監帕爾米耶里（Jennifer Palmieri）、希拉蕊密友阿貝丁（Huma Abedin）等重要人物。

盧卡舍夫開始準備另一場釣魚攻擊。這次的訊息不是安全警告，而是給民主黨員工的「選情資料」。每一封信裡都附了一個「hillaryclinton-favorable-rating.xlsx」的檔案連結（.xlsx是Excel試算表的副檔名）。

這場攻擊也是盧卡舍夫釣魚作戰的轉捩點，因為他成功破解民主黨國會競選委員會員工的帳號：該員工點了釣魚連結，也輸入了自己的密碼。

突破民主黨國會競選委員會的網路，讓奇幻熊又離全國委員會更進了一步，和希拉蕊的競選團隊不同，國會競選委員會和全國委員會的網路沒有使用2步驟驗證，這也是他們被奇幻熊入侵的主因。

這點讓曾受邀提供資安建議的著名駭客Mudge非常挫敗：

他們反對申請2步驟驗證⋯⋯，主要理由很驚人：因為這樣很麻煩⋯⋯，但這是最低限度的防禦措施，而且他們使用的Google已經盡可能簡化過程，可以大幅增加敵人的成本，卻還是被這些人嫌麻煩。

我提議過採用2步驟驗證、系統強化（hardening）和設置共同（雲端）工作系統來保護資料。一毛錢都不收。但他們都不想用，我還能說什麼呢？

因此，民主黨全國委員會和國會競選委員會被突破，不單是因為員工被專業駭客精心策畫的網路釣魚誘騙，更是因為他們的組織文化和希拉蕊的競選團隊不同，一點都不在乎資訊安全。

奇幻熊突破的不只是程式碼，也突破了人心與組織的抽象準則。

當組織文化缺乏安全意識，就會帶來災難性的後果。

3月初，奇幻熊還不知道任何一個希拉蕊員工的信箱地址，他們花了1個月才終於破解民主黨的內部網路。到了4月底，奇幻熊已經掌握了5萬5千封競選主任的信件，在許多員工的收件匣中來去無阻，還成功潛入全國委員會和國會競選委員會的網路內部，偷聽著民主黨高層最機密的談話和分析⋯⋯。

更多商周文章
2023杭州亞運棒球》10/5台灣複賽對中國！賽程、戰績、中華隊名單一次看
「恕我冒昧」英文怎麼說？會議和日常對話都適用