黑客以社交工程誤導 Paypal 資安人員「被匯款」至已死 ISIS 成員

Paypal 的網絡保安措施或許沒有想像中的好。外國有資訊保安專家表示,他的 Paypal 帳戶在平安夜兩度被黑客入侵,並試圖向一個已死的 ISIS 成員匯款。他認為事發原因不是他的密碼外泄,而是有人透過社交工程的手段斯騙 Paypal ,從而控制他的帳戶。

Paypal 的網絡保安措施或許沒有想像中的好。外國有資訊保安專家表示,他的 Paypal 帳戶在平安夜兩度被黑客入侵,並試圖向一個已死的 ISIS 成員匯款。他認為事發原因不是他的密碼外泄,而是有人透過社交工程的手段斯騙 Paypal ,從而控制他的帳戶。

 

保安專家 Brian Krebs 於網誌講述事件經過。於平安夜早上,Paypal 透過電郵通知 Krebs ,說有新電郵帳戶加入他的帳戶。然而他沒有做過,於是馬上登入 Paypal ,並刪掉那個電郵和修改密碼。此外他就此致電 Paypal 客戶服務熱線,公司指他們會好好監視 Krebs 帳戶的可疑行為,並請他放心。

但二十分鐘後,他的帳戶又受到入侵,並被黑客取得控制。除此之外,他更指黑客涉嫌把他的錢匯至一個已被美軍炸死的伊斯蘭國成員 Junaid Hussain。他是一個黑客,專助伊斯蘭國在社交網站宣傳。

之後 Krebs 再次致電 Paypal。從通話中他得知黑客是透過電話向 Paypal 提出重設密碼的要求,而且方法很簡單,只需提供 Krebs 的社會保障號碼和舊信用卡編號的最後四位數字。由於 Krebs 早前已成為多個歹徒的入侵目標,他的資料已在網上公開。事實上他之前亦被不法分子抹黑過,指他在網上買海洛英。

最後 Krebs 認為假如公司只單憑地址、電話、信用卡號碼等資料來核實身分是很不安全,帳戶會容易受入侵。Paypal 的用戶驗證更十分落後,例如沒有提用戶提供手機認證功能。

Source : Washington Times ,The Register