更新(2022 年 9 月 20 日):优步已 发布声明,称勒索软件攻击组织 Lapsus$ 可能是此次攻击的潜在肇事者。
优步昨天宣布,在一名匿名人士获取了大量安全数据(据称包括电子邮件、云存储和代码存储库)后,已将许多内部通信渠道和工程系统下线。声称对此负责的、身份仍未可知的人士随后向《纽约时报》和 Yuga Labs 的一名安全工程师提供了截图作为证据。截图显示,他们利用了书中一种最简单、最古老的伎俩,实现了令人震惊的全面且潜在具有毁灭性的进入优步内部系统的权限:简单来说,他们欺骗了一名优步员工,让其交出了密码。
网络安全领域使用的更正式的术语是“社会工程学”,路易斯安那州立大学 IT 安全与政策办公室将其定义为“不良行为者利用‘人际互动(社交技巧)来获取或泄露有关组织或其计算机系统的资讯’”。据《纽约时报》报道,在此次事件中,该人士向一名优步员工发送了一条短信,声称自己是 IT 人员,并成功说服该员工交出了密码。
[相关:如何防范网络钓鱼和其他电子邮件攻击。]
由此,他们获得了优步系统的访问权限,并接管了一名员工的 Slack 个人资料,发布了(令人钦佩的)直白公告:“我宣布我是一名黑客,优步遭受了数据泄露。”随后,他们接着辩称优步司机应该获得更高的报酬。《纽约时报》还指出,黑客从那里获得了更多系统的访问权限,甚至在内部员工信息页面上发布了一张“露骨照片”。
尽管公众经常将黑客行为与利用晦涩难懂的编程语言的复杂网络攻击联系起来,但绝大多数情况归结于这些相对简单的社会工程学和网络钓鱼诈骗。一份报告显示,只有 3% 的恶意软件试图利用技术漏洞,而其余 97% 仅仅是社会工程学诡计。2020 年,青少年也采用了类似的策略,成功入侵了 Twitter 的服务器,而另一些人在今年早些时候攻击微软时也使用了社会工程学。
[剩余内容:诈骗者正利用韦伯望远镜照片隐藏复杂恶意软件。]
尚不清楚这场最新的社会工程学闹剧将如何收场,尽管一位与《纽约时报》交谈过的安全专家推测:“看起来他可能是一个进入了优步但不知道如何处理的年轻人,正玩得不亦乐乎。”今天下午早些时候,优步在 Twitter 上发布了更新,告知消费者用户的敏感数据(如行程信息和路线)似乎没有受到任何泄露。此外,该公司表示昨天被下线的内部软件今天正在慢慢恢复在线。无论如何,这都是一个很好的提醒,下次收到你“老板”或“IT 同事”发来的随机短信时,一定要仔细核实其身份。
