对于黑客Nixxer来说,仅需一个家庭住址就可以毁掉你的人生。
Nixxer是澳大利亚技术最高超的社会工程师之一,在网络上从不使用自己的真实姓名。在上个月墨尔本的Unrestcon安全会议上,他展示了如何利用一个开源的情报工具,加上一些收集个人信息的经验和技巧,入侵Facebook上防护最严密的账户,最终进入个人的银行账户。
着手准备
在黑客常分享信息的网站Pastebin上,Nixxer用“dox”作为关键词随机搜索了一个家庭住址,但相关信息并没有给出个人名字,所以无法确认这个地址是否真实存在。但很快,通过谷歌和微软的在线地图,Nixxer不只找到了房主的细节信息还发现了前房主的信息,并通过在公共数据库的查对,他还知道了房子的市场价格和现任房主的年收入水平,约为12万美元。
在线地图显示一辆车停在房子旁边的车道上。虽然车牌模糊,但黑客足以获释它的制造商、型号,和车牌的所属州。“从它的颜色、形状,以及字母和数字的个数来推断,它是堪萨斯州的。”
房子后院的一块不错的活动场地,则表明家里有孩子。房子后方的足球场也是很有用的信息。“有一所地方学校,一个地方橄榄球队,都可以用来构造钓鱼攻击。”
收紧套索
在线身份认证服务是隐私权利保护者的眼中钉,data.com就是这样一个深受社会工程师们喜爱的网站。它允许用户交换个人信息,并鼓励从业者上传通讯录,以访问同样数量的其他人上传到网站服务器中的信息。
该网站的隐私泄露影响很严重,因为你无法知道自己的信息是否会被别人传到网站上,并可能被任何人分享。除了data.com,另一个数据收集平台wayin曾声称,已经拥有14分之1美国人的数据,而他们的目标是7分之一。
Nixxer利用这类网找到了现房主和前房主的姓名,再通过姓名获悉了现任房主以前的住址、个人和工作邮件,还有出生日期。“这些网站到处都是,你只需要付差不多一美元就可以访问任何你想要的信息,这太可怕了!”
Facebook对于那些看重个人隐私的人来说堪称毒药,即便使用化名,Nixxer也不会使用这种社交网站。他最有理由不上Facebook,因为他开发过一款搞定Facebook非默认隐私控制的工具。
这款工具是Nixxer在给政府部门干活的时候开发的,它可以通过伪造个人用户资料,捕获目标用户的相关和熟人链接,即便目标用户设置了最高级别的隐私保护。而且,这些伪造的个人用户无需被目标用户加为好友。
通过这个工具,Nixxer在Facebook和Linkedin上得到了“受害人”的兄弟姐妹、父母,甚至是表兄妹的身份,还得到了一堆照片和可以印证之前发现的信息。Nixxer从信息中了解到,“受害人”的兄弟姐妹和孩子都在他们的家族企业工作,受害人则是企业的主管。
Facebook是一张非常庞大的人际网,可以用来锁定目标对象的活动轨迹。
Nixxer开始关注受害人的业务,并获取了足以打开或关闭受害人银行账户的信息。“我可以对他的银行账户为所欲为。”
下一步是渗透这家家族企业的业务网站。该网站的系统平台是Linux的一个实例,而且没打补丁!Nixxer很快拿到了网站服务器的root权限,掌握了这个网站之后,他可以随心所欲地发动各种攻击了。
如何避免
想避免上面发生的类似遭遇,Nixxer表示,切断黑客攻击链的第一步就是不使用Facebook这类的社交网站。
“没有任何理由,把你在哪儿长大的,兄弟姐妹是谁,或是昨天在哪里买的衣服等等这些事情写下来。”
当然,即便停用公开的社交网站,也不能完全阻止全球日益庞大且技巧娴熟的社工黑客大军获取足够的信息,并毁掉受害者的人生。
Nixxer建议,用户可以使用伪造在线个人资料的工具,并使用具备拦截广告、脚本等安全功能的浏览工具。