今天,《华盛顿邮报》(最近被亚马逊的杰夫·贝索斯收购)发布了一篇简短说明,承认该报网站的某些页面遭到了叙利亚电子军的黑客攻击。叙利亚电子军是一个以侵入和攻击批评叙利亚政府的西方新闻机构而闻名的黑客组织,他们并不避讳炫耀战果,并发推文宣称其胜利,声称他们“一举”还黑掉了《时代》杂志和CNN的网站。他们是通过攻击一个名为Outbrain的服务来实现的,这个服务大多数读者可能都没听说过,但大多数出版商都在使用。事实上,这也是我们在《PopSci》上使用的服务,虽然我们至今尚未被黑。我们从Outbrain的两个消息来源获悉,此次黑客攻击是通过电子邮件钓鱼(phishing)一名Outbrain员工进行的——这是叙利亚电子军的标准战术。
Outbrain负责互联网上许多出版物的文章下方出现的“相关故事”链接。在许多出版商几乎赚不到钱的时代,Outbrain是帮助出版商盈利的众多服务之一。这些相关故事链接分为两列:内部和外部。内部链接指向您自己出版物(或内部网络出版物)的故事;《PopSci》可能会链接到我们的摄影姊妹网站《PopPhoto》。外部链接则来自品牌或出版物;它们基本上是广告。如果耐克想向《PopSci》的读者推荐一款新款鞋子的网站,或者一个新出版物想让《PopSci》的读者了解他们的网站,它可以付费给Outbrain,将其链接植入外部链接部分。然后,作为允许这些链接出现在我们网站的报酬,Outbrain会支付给我们一部分收入。这部分收入的大小取决于与Outbrain达成的具体协议,但我可以肯定,《PopSci》的协议让我们获得耐克(或其他公司)支付给Outbrain费用的60%。一位Outbrain的代表告诉我,这个分成比例相当标准。
Outbrain非常受欢迎;它简单易用,不引人注目,并且能为出版商带来大量收入。我们使用它,还有《卫报》、《今日美国》、《每日野兽》、《Slate》、《CNN》、《Mashable》和《Fast Company》等。读者通常不会注意到它,但Outbrain完全控制着这组链接。
因此,如果有人能够访问Outbrain,他们就能轻易地进入许多其他出版物的“后门”,这正是叙利亚电子军选择这条途径的狡猾和聪明之处。Outbrain的业务发展总监Diana Fox告诉我,此次黑客攻击是通过钓鱼进行的,这是叙利亚电子军的标准战术——他们试图欺骗人们输入用户名和密码。“他们不是入侵了我们的后端,”她说。“他们只是让一个人填写了信息(比如)电子邮件地址,然后就通过这种方式获得了我们的内容。”Outbrain的市场营销部门的Lisa LaCour也证实,这就是SEA通过Outbrain获取访问权限所使用的方法。
钓鱼是一种低成本的战术,但却异常有效;这是SEA本周早些时候用来入侵SocialFlow、《纽约邮报》和其他公司的手段。这也解释了正如一位黑客今天告诉eHackingNews的那样,SEA是如何“窃取了Outbrain的电子邮件”的。
