Yahoo奇摩新聞 萬豪應急響應能力遭詬病,受害者面臨釣魚式攻擊風險
上周五,萬豪發送了數百萬封電子郵件,告知用戶該公司發生了大規模數據泄露事件——萬豪旗下喜達屋酒店的預訂數據庫中 約 5 億客人的個人資料被盜 。
問題在於,這封電子郵件發件人的域名看起來根本不像是萬豪酒店的。
萬豪以“email-marriott.com”的域名形式發出了這封電子郵件,這個域名登記在一家代表萬豪酒店的第三方公司 CSC 名下。但是,沒有其他證據證明這封電子郵件是完全合法的——域名沒有加載或是具有可識别身份的 HTTPS 證書。實際上,除了 萬豪數據泄露通知網站 上確認該域名是合法的公告之外,沒有任何簡單的途徑可以檢查該域名是不是真的。
但更糟糕的是,萬豪酒店發出的電子郵件很容易被釣魚式攻擊盯上。
通常情況下,在數據泄露事件發生之後,黑客會充分利用接踵而至的新聞報道,用虛假資訊和網站内容欺騙用戶,讓他們交出自己的私人資訊。這種情況比人們想象的更常見。有些人在數據泄露事件發生後以為自己正面臨風險,而這些人更容易受到釣魚式攻擊。
企業應該將自家網站上的一切資訊和經過驗證的社交媒體頁面進行托管,以防止不法分子出於自身利益而劫持受害者。不過,一旦你開始使用其獨特的域名來設置自己的專用外部頁面,你還不得不留心域名搶註者——那些註冊拼寫幾乎相同的類似域名的人。
以“email-marriot.com”為例,對於未經專業訓練的人,它看起來像是合法域名——但很多人不會註意到拼寫錯誤。實際上,這個域名屬於 Rendition Infosec 創始人傑克·威廉姆斯(Jake Williams),他就警告用戶不要信任該域名。
“我之所以註冊了這些域名,是為了確保詐騙者無法註冊它們,”威廉姆斯告訴 TechCrunch 網站,“在 Equifax 大規模數據泄露事件發生之後,很顯然這將成為問題,因此註冊域名是一個負責任的擧動,旨在讓它們不會受犯罪分子的控制。”
Equifax 是去年發生的規模最大的數據泄露事件,這起事件之所以被媒體廣泛報道,不僅是因引人註目的黑客攻擊方式,還有其糟糕透頂的反應。Equifax 也為受害者創建了一個專門的網站——“equifaxsecurity2017.com”——但即便是該公司負責運營 Twitter 帳號的工作人員,也對此感到困惑,並且 無意中將“securityequifax2017.com”這個網站發給受害者 ——這其實是一個由開發人員尼克·斯維廷(Nick Sweeting)創建的虛假網站,旨在暴露該公司脆弱的應急響應能力。
考慮到 Equifax 數據泄露事件就發生在去年,看來萬豪並沒有從這起事件中吸取任何教訓。許多人都對萬豪數據泄露以後拙劣的反應能力敲響了警鐘。創建了數據泄露通知網站 Have I Been Pwned 的安全專家特洛伊·亨特(Troy Hunt),曾在 Twitter 上 發長文 對萬豪酒店在域名使用上的拙劣表現做過詳細梳理。實際上,這個域名的歷史最早可追溯到今年年初,當時萬豪使用該域名要求用戶更新密碼。
威廉姆斯不是唯一一個採取措施,防止萬豪酒店客人受到網絡犯罪分子欺詐的人。數據安全巨頭 FireEye 工作人員尼克·卡爾(Nick Carr)在萬豪發生數據泄露事件的當天,就註冊了一個名稱相似的域名“email-mariott.com”。
“請註意你點擊的地方,”他在該網站上 寫道 ,“希望這不是一個讓受害者感到混淆的網站。”如果萬豪只是用自己的域名發出了電子郵件,那麼就不會出現問題。
萬豪發言人並未對評論的請求做出回應。
題圖來源:Getty Images
翻譯:皓岳
