最近有一个看似很逗但对网络安全领域很有警示的新闻:一个美国喜剧演员冒充议员给特朗普打电话,二人的通话持续了3分钟。
事件复盘
事情是这样的,6月27日,这位名叫约翰·梅伦德斯的喜剧演员,先是以真实身份致电白宫,想要要与特朗普通话,但遭到了接线员的拒绝。
不甘心的他换了个口音又打了回去,并声称自己是一位议员。这次,白宫接线员没有起疑心,自然也就没有问他来自哪个州、是哪个党派等问题。
随后,接线员将电话转给了特朗普的一名下属,后者称总统目前正在忙。然后,这名下属就把特朗普的手机号告诉了梅伦德斯。
当时,白宫法务办特意向梅伦德斯冒充的议员办公室进行证实,得知该议员并没有与特朗普通话的意图,法务办迅速试图阻止这次通话,但特朗普的女婿库什纳却坚持通话。原因是特朗普希望能让国会议员随时联系到他,但因为类似渠道很多,有时的确会发生类似的问题。
很快,梅伦德斯就接到了从美国总统专机“空军一号”上回拨的来电,并与特朗普进行了3分钟的通话,期间聊到了移民政策、最高法院大法官继任人选等较为敏感的话题。而特朗普也丝毫没有怀疑对方的身份。
6月28日,梅伦德斯在自己的个人网站上公布了这段音频。
6月29日,美国广播公司在新闻中报道,特朗普政府证实了这次通话。
空军一号的通信系统有多安全?
据悉,空军一号上的通话系统采用了某军事承包商制造的GSIMS全球安全信息管理系统,这是一种基于IP系统的安全机载通信系统,能提供可靠的连线、安全的视频会议以及可控的无线连接。
同时,该系统还装配有多重脉冲频率的无线电通讯设备,即使在核爆炸的电磁脉冲干扰下,飞机照样可以与外界进行流畅的通讯。
正是因此,空军一号GSIMS系统通常被认为是国家首脑座驾中最先进、最安全的通信系统。
另外,美国总统所有电话通话都是高度加密并且会被重重过滤。看上去总统只是像普通人一样拿起了电话,但其实这通电话已经通过了多重检查。
可笑又值得深思的是,此等级别的通信系统,竟然被一位喜剧演员给渗透了。
该事件对企业信息安全有何警示?
虽然这个事件是梅伦德斯的恶作剧,他从特朗普那里得到的信息还不足以威胁到美国的国家安全,但是从信息安全角度来看,这就是一次成功的、典型的社工。尽管还达不到被载入史册的程度,但也足够让企业认识到一个很严峻的现实问题:人,是信息安全最薄弱的环节。
毕竟,面对如此严密的白宫和空军一号通讯系统,梅伦德斯凭借一己之力就轻松地先后骗过了接线员、特朗普下属、女婿,以及特朗普本人,并且“打探”到了他本不该知道的内部信息。
一般来讲,肯定没有人会认为自己企业的信息安全防御措施比白宫和空军一号还要严密吧?很多企业都要花费巨额资金和人力资源,不断地进行软件升级、硬件加固,认为严防死守就能保障自身网络安全。但没成想,使用这些软硬件的是人。只要“人”的环节出现问题,软硬件就是形同虚设。
社工还能怎么防?
社会工程学的威力有多大?传奇黑客凯文·米特尼克的经历告诉我们,社会工程学可以黑进任何政府/企业的网络系统。
通常,社工采用点对点的方式,而不是像电脑病毒那样大面积攻击。攻击者只要找准一个突破点,就能进一步得到更多核心信息,这些信息包括内部人员姓名、账号密码、电话、通讯录名单、企业内部WiFi账号密码,等等。随后,攻击者就可以冒用相关人员的身份窃取信息。
为什么这么说呢?因为包括Forrester和Verizon在内的知名机构都在研究后指出,超过80%的信息泄漏事件都是攻击者冒用了相关人员、尤其是特权用户的访问权限导致的。
所以,企业应该用技术手段提升账户安全,把“人”的因素放到安全管理策略中。就在上个月,Gartner还特意将“特权账户管理”列为企业最应该投入的所有安全项目之首,并建议对特权账户启用强制性的多因素身份认证。这无疑为企业提升账户安全指明了道路。
在这方面,锦佰安科技已经推出了相关产品——SecID多因素身份认证系统。SecID在登录账户过程中所需的静态密码基础上,增加了一个二次强身份认证环节,该环节提供人脸识别、指纹识别、图片密码、一键确认、OTP动态口令等多种身份验证方案,政府和企业用户可根据自身业务特点按需选择。由于攻击者无法绕过该认证环节,所以即使窃取密码也无法登录账户。
结语
从喜剧演员冒用议员身份与特朗普通话可以看出,任何看似固若金汤的防御措施,只要有人参与其中就必定存在漏洞。因此,企业除了要做好渗透测试,并制定相应的安全制度、提高员工安全意识之外,还应采用多因素身份认证来提升账户安全,从而防止攻击者通过社工等手段冒用员工身份情况的发生,确保安全可信的人登录账户执行相关业务操作。