黑客如何破坏剑桥大学通过Firefox零日漏洞传播恶意软件的安全性

现代在线安全的最大问题究竟是什么？先进的黑客工具 ？写得不好的软件应用程序？供应商做得不够，无法保护用户的数据？您可以在技术上争辩说，所有这些答案在某种程度上都是正确的。然而，从更基本的角度来看，我们认为最大的问题是我们假设太多。

我们假设黑客不会对我们感兴趣。我们假设技术娴熟的用户永远不会因诈骗者的伎俩而堕落。我们还假设剑桥大学这样的世界知名组织的安全性几乎可以抵御任何攻击。软件工程师罗伯特·希顿（Robert Heaton） 最近发表的博客文章揭示了这些（以及其他一些）神话的广泛开放，它为我们提供了一个真实世界的例子，说明我们有时会有多么错误。

网络攻击让技术娴熟的用户不再聪明

虽然，正如我们在一分钟内发现的那样，罗伯特·希顿是一个非常复杂的网络攻击的目标，但他设法完全没有受到伤害。然而，他的故事并不那么引人入胜，其中最令人不安的事情之一就是他，一个在计算机上度过了大部分有意识生活的人，完全不知道整个考验过程中发生了什么。

这一切都始于6月初，当时希顿收到了某位格雷戈里哈里斯的电子邮件，该消息称，这封信来自剑桥大学。哈里斯邀请希顿成为今年颁发亚当史密斯奖的评审团成员。该电子邮件称，希顿已被该领域的其他专家推荐，其中包含了有关该奖项的更多信息的链接。

罗伯特·希顿有点困惑。他打开了这个链接，证实他怀疑亚当史密斯奖是剑桥大学给予在经济学领域表现优异的人的奖项。他作为软件工程师的职业生涯并没有使他成为这份工作的最佳人选。然而，他在博客文章中承认他对经济学有一些兴趣，这就是为什么他回复最初的电子邮件，要求提供更多信息，说明如果他决定接受邀请，他将需要做什么。格雷戈里哈里斯说，希顿需要评估和评估一些将很快发送给他的项目。

罗伯特·希顿感到更加不安。他觉得自己不合格，并在另一封给Gregory Harris的电子邮件中表达了他的担忧。答复说可能确实存在错误。哈里斯答应他会仔细检查并回到希顿，然后他没有做到。

Heaton没有想到这一点，但几周后，他了解到他的计算机感染了恶意软件的程度。

一个接近的电话

罗伯特·希顿在与格雷戈里·哈里斯交流时并非鲁莽。他做了他所谓的“一些基本的安全卫生检查” - 我们每次收到我们都没想到的电子邮件时都应该执行的检查。他确认发件人的地址是在cam.ac.uk上托管的，他还确保该链接指向一个URL，该URL也是剑桥大学网站的一部分. Heaton甚至用Google搜索了他正在与之交流的人的名字，尽管他无法找到太多信息，但他并不特别怀疑。

然而，事实证明，格雷戈里哈里斯很可能是一个假人，罗伯特希顿点击的链接实际上是恶意的。网络犯罪分子设法突破剑桥大学的安全，他们创建了两个新的电子邮件地址，并使用亚当·斯密奖奖励场景诱骗受害者访问几个预先上传的网页，这些网页旨在感染Mac用户的恶意软件。 根据Mac安全专家Patrick Wardle的说法 ，有效载荷是一个名为OSX.NetWire.A的后门。

其他用户报告了同样的攻击并声称在他们的情况下，它是成功的。和他们一样，罗伯特·希顿当时正在使用Mac，然而，他没有受到感染。为什么？

他唯一的优点是他选择的浏览器是Google Chrome。他打开的网页包含一些恶意JavaScript代码，利用了Mozilla Firefox中的零日漏洞。如果Heaton在Firefox中打开链接，他就会被感染。

Mozilla现在修补了这个漏洞，那些没有更新浏览器的人应该尽快完成。

黑客也犯了一些错误

正如Heaton在他的博客文章中指出的那样，如果恶意网页上写了“在Mozilla Firefox中查看此页面”的内容，那么攻击就会更加成功。他们本可以在选择目标方面做得更好。

整个攻击的目标是窃取加密货币。最初，这些骗子以Coinbase员工为目标，但在成功有限之后，他们扩大了网络并开始攻击他们认为拥有一些数字硬币的人。然而，就罗伯特·希顿而言，他们把目光投向了错误的人。他在博客文章中指出，他从来没有真正对加密货币有任何重大兴趣。

这并不会让整个故事变得更加令人担忧。安全专家不会停止告诉我们为了保持安全而需要做些什么，但是在一个计划得好的攻击的情况下，这显然不够明确。虽然真实世界的事件很少涉及零日漏洞，但上面的攻击向我们表明，当他们这样做时，即使技术上有能力，安全意识的用户也可以完全无能为力。真正令人遗憾的是，我们可以做的不仅仅是希望适当复杂的攻击尽可能少地进行。