社交账号登录

社交账号登录

0/34

上传头像

拖拽或者缩放虚线框,生成自己满意的头像

头像

预览

忘记密码

设置新密码

智能

一个工程师建了个钓鱼网站,只是为了表明原网站有多脆弱

Maggie Astor2017-09-25 07:00:47

像这样,公司错把外链指向假网站的新闻不多见

本文只能在《好奇心日报》发布,即使我们允许了也不许转载* 

黑客为了盗取用户信息、仿冒大公司网站的案例层出不穷,但是公司错把外链指向假网站的新闻却不多见。

Equifax 就犯了这样的错误。最近,软件工程师尼克·斯威廷(Nick Sweeting)仿冒 Equifax(一家美国信用报告公司,译注) 官方网页建立了一个虚假网站 securityequifax2017.com。但实际上,正确的网址应为 equifaxsecurity2017.com,它是 Equifax 为此前的信息泄露危机新开设的网站,这起事件或已导致 1.43 亿美国信息外泄。然而,Equifax 的 Twitter 账号竟然推送了多条消息,把假的钓鱼网站地址发给了消费者。乌龙事件公开后,他们才删除了这些消息。

截至上周三下午,Chrome、Firefox 和 Safari 浏览器均已屏蔽了假网站,斯威廷随后也撤下了网页。据他透露,网站关闭时已经获得了约 20 万点击量。

Equifax 为用户信息泄露事件建立的网站(左)和假的网站(右)。一名软件工程师创建了该虚假网站,希望 Equifax 的网络安全漏洞能引起关注。

不过好在斯威廷写明了自己是假冒网站,所以并未有人受到损失。假网页布局和原版一模一样,连顶部提示也完全相同,上面写着:“防范身份信息盗用、监控您的信用档案,请点击此处免费注册。”但是假网站的大幅标题有所不同,斯威廷写道:“网络安全事件和重要消费者信息完全是假的。为什么 Equifax 的域名这么容易被钓鱼网站仿冒?”

黑客很容易就能创建虚假 Equifax 页面,如果当真有人在钓鱼网站上注册了假的身份防盗服务,并提供了姓名和社会保障号码的后 6 位数字,那么后果不堪设想。(斯威廷假网站上的注册页面不可用,所以网站不会保存用户提交的信息。)

他们不仅推送了假的链接,而且推送了 3 次。#Equihax

斯威廷在一封邮件中表示,他创建假冒网站完全是为了引起人们重视,因为 Equifax的安全措施实在太薄弱了。他写道:“Equifax 的网站实在太容易仿冒了。我只用了 20 分钟就完成了,我敢保证已经有人搭建了真的恶意钓鱼网站。”

“人们应当呼吁 Equifax 换一个更可靠的域名,”他补充道,“我希望引起大家的重视,既然只需 10 美元就能建个站,我就着手行动了。”

周三,Equifax 在一份简短的声明中表示,公司已经删除了所有包含假冒链接的消息。声明写道:“很抱歉给您带来了困惑。请消费者警惕仿冒 Equifax 的虚假网站,正确的网址是https://www.equifaxsecurity2017.com,您可以前往此网站了解更多信息,并免费注册信用监控服务,我们公司的主页则是 equifax.com。其它宣称由 Equifax 运营的网站如非来自以上两个页面,请务必谨慎访问。”

当被问及 Equifax 为何新建了独立网站,而非在 equifax.com 下创建子域名时,公司发言人玛丽萨·萨尔西内斯(Marisa Salcines)未能予以回应。

网络安全专家表示,新建域名是个重大失误。黑客无法在 equifax.com 域名下新建网页,所以如果公司网站能托管在那里,用户就可以轻易分辨真假。

卡内基梅隆大学(Carnegie Mellon University)信息系统专业教授拉胡尔·特朗(Rahul Telang)表示:“显然一开始就应该这么做,只要在官网下建立一个子域名,那么有人想仿冒的话,就很容易识破了。”相反,equifaxsecurity2017.com 这个网站看起来一点也不正规。特朗教授称自己第一眼都无法确定真伪,不知道在这个网站上提交个人信息是否安全。

斯威廷在邮件中解释说,只需使用 Linux 命令“wget”就可以下载网站全部内容,“包括所有图片、HTML 文档和 CSS 文档等。”

“使用 wget 命令就能复制下整个网站,再花 5 美元租用一台服务器,把复制好的网页放上去,整个过程极其简单。我的服务器目前采用 SSL 认证,和 Equifax 真实的站点相同,所以从认证角度而言,用户根本无法区分真的站点和我的服务器。”

特朗教授认为,Equifax 的做法表明其从未料想到数据会被泄露,也从未对此有所防范。他说:“如果没有应急预案,那就可能发生各种意外。Equifax 就是很好的例子。”

Equifax 错误推送的 Twitter 消息均以“-Tim”结尾,或许代表了发布消息的雇员名字。Equifax 发言人并未透露公司是否会对当事人进行处罚,但斯威廷表示自己不希望涉事员工因此被解雇。

“他们很可能只是用 Google 搜索了网址,结果找到了假的网站,”他说道,“真正应该负责的是那些最初决定建立不正规网站的人。”


翻译 熊猫译社 智竑

题图来自 Pexels

© 2017 THE NEW YORK TIMES

喜欢这篇文章?去 App 商店搜 好奇心日报 ,每天看点不一样的。