現(xiàn)實(shí)案例告訴我們即便是網(wǎng)絡(luò)安全專家也可能在網(wǎng)上上當(dāng)受騙，這次的案例是知名密碼泄露查詢網(wǎng)站 HaveIBeenPwned.com 的創(chuàng)始人特洛伊?亨特 (Troy Hunt)。

特洛伊亨特是網(wǎng)絡(luò)安全專家，他也是最早從暗網(wǎng)收集泄露數(shù)據(jù)庫并搭建密碼泄露查詢網(wǎng)站的人，人們只需要在 HIBP 網(wǎng)站輸入自己的賬號(hào)或郵箱即可查詢是否存在數(shù)據(jù)泄露及對應(yīng)泄露數(shù)據(jù)的網(wǎng)站。

此次針對亨特的釣魚郵件也是精心準(zhǔn)備的，亨特使用訂閱郵件服務(wù)提供商 Mailchimp 向 16000 名訂閱者提供消息發(fā)布，黑客冒充 Mailchimp 發(fā)送了這封釣魚郵件。

在釣魚郵件中黑客稱 Mailchimp 收到關(guān)于其個(gè)人博客郵件訂閱的垃圾投訴并導(dǎo)致郵件發(fā)送權(quán)限受限，當(dāng)時(shí)亨特處于時(shí)差和疲憊狀態(tài)，于是并未仔細(xì)檢查郵件發(fā)送人就點(diǎn)擊鏈接。

鏈接對應(yīng)網(wǎng)站需要輸入賬號(hào)密碼和 2FA 驗(yàn)證碼，盡管亨特注意到 1Password 并未自動(dòng)填充賬號(hào)密碼 (因?yàn)樵撁艽a管理器僅會(huì)向已保存的網(wǎng)站自動(dòng)填充)，但還是手動(dòng)輸入了賬號(hào)密碼并且從 1Password 中復(fù)制粘貼了 2FA 驗(yàn)證碼。

黑客在背后使用自動(dòng)化程序，當(dāng)接收到賬號(hào)密碼和 2FA 驗(yàn)證碼后，自動(dòng)化程序立即進(jìn)入了 Mailchimp 并創(chuàng)建 API 導(dǎo)出了所有訂閱者 (包括取消訂閱) 的電子郵箱地址。

所幸這次釣魚事件的潛在影響非常有限，這不會(huì)泄露 HaveIBeenPwned.com 的數(shù)據(jù)，只是訂閱亨特博客的人接下來可能要提防冒充亨特的電子郵件。

另外在竊取亨特賬號(hào) 2 小時(shí) 15 分鐘后，Cloudflare 似乎檢測到異常于是關(guān)閉了這個(gè)釣魚網(wǎng)站 (hxxp://mailchimp-sso.com)，亨特也手動(dòng)向谷歌舉報(bào)了該網(wǎng)站，所以 Chrome 也能攔截這個(gè)釣魚網(wǎng)站。

和大多數(shù)專業(yè)黑客一樣，此次發(fā)起攻擊的黑客通過某種方式盜用了比利時(shí)一家清潔公司的郵箱用來發(fā)送釣魚郵件，通常這類企業(yè)的域名聲譽(yù)較高，可以降低被攔截的概率。

最后還是提醒各位不要輕易點(diǎn)擊電子郵件中的地址，任何郵件都應(yīng)該核對其發(fā)信人郵箱 (但也可以通過代發(fā)進(jìn)行假冒) 以及核對鏈接的域名，否則真的很容易上當(dāng)受騙。

博客原文：https://www.troyhunt.com/a-sneaky-phish-just-grabbed-my-mailchimp-mailing-list/

補(bǔ)充說明：

藍(lán)點(diǎn)網(wǎng)有點(diǎn)懷疑發(fā)起攻擊的黑客到底是什么目的，注意一個(gè) .com 域名需要大約 8 美元并且在被發(fā)現(xiàn)釣魚而被攔截后基本就失去了價(jià)值。

盜用一家比利時(shí)企業(yè)的郵箱針對一個(gè)個(gè)人博客郵件訂閱發(fā)起釣魚，最終只獲得 16000 個(gè)電子郵箱地址，總感覺這著實(shí)沒必要吧？總不能黑客以為亨特的郵件訂閱有幾十萬名用戶？

如果黑客不是為了炫技，那大概率會(huì)使用竊取的這些郵件發(fā)送針對性的釣魚郵件，比如就是冒充亨特發(fā)送其他釣魚郵件發(fā)送惡意軟件或竊取其他信息，但這種情況能收獲的東西實(shí)在是沒法猜。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場：https://www.ijiandao.com/