黑客如何破壞劍橋大學通過Firefox零日漏洞傳播惡意軟件的安全性

現代在線安全的最大問題究竟是什麼？先進的黑客工具 ？寫得不好的軟件應用程序？供應商做得不夠，無法保護用戶的數據？您可以在技術上爭辯說，所有這些答案在某種程度上都是正確的。然而，從更基本的角度來看，我們認為最大的問題是我們假設太多。

我們假設黑客不會對我們感興趣。我們假設技術嫻熟的用戶永遠不會因詐騙者的伎倆而墮落。我們還假設劍橋大學這樣的世界知名組織的安全性幾乎可以抵禦任何攻擊。軟件工程師羅伯特·希頓（Robert Heaton） 最近發表的博客文章揭示了這些（以及其他一些）神話的廣泛開放，它為我們提供了一個真實世界的例子，說明我們有時會有多麼錯誤。

網絡攻擊讓技術嫻熟的用戶不再聰明

雖然，正如我們在一分鐘內發現的那樣，羅伯特·希頓是一個非常複雜的網絡攻擊的目標，但他設法完全沒有受到傷害。然而，他的故事並不那麼引人入勝，其中最令人不安的事情之一就是他，一個在計算機上度過了大部分有意識生活的人，完全不知道整個考驗過程中發生了什麼。

這一切都始於6月初，當時希頓收到了某位格雷戈里哈里斯的電子郵件，該消息稱，這封信來自劍橋大學。哈里斯邀請希頓成為今年頒發亞當史密斯獎的評審團成員。該電子郵件稱，希頓已被該領域的其他專家推薦，其中包含了有關該獎項的更多信息的鏈接。

羅伯特·希頓有點困惑。他打開了這個鏈接，證實他懷疑亞當史密斯獎是劍橋大學給予在經濟學領域表現優異的人的獎項。他作為軟件工程師的職業生涯並沒有使他成為這份工作的最佳人選。然而，他在博客文章中承認他對經濟學有一些興趣，這就是為什麼他回复最初的電子郵件，要求提供更多信息，說明如果他決定接受邀請，他將需要做什麼。格雷戈里哈里斯說，希頓需要評估和評估一些將很快發送給他的項目。

羅伯特·希頓感到更加不安。他覺得自己不合格，並在另一封給Gregory Harris的電子郵件中表達了他的擔憂。答复說可能確實存在錯誤。哈里斯答應他會仔細檢查並回到希頓，然後他沒有做到。

Heaton沒有想到這一點，但幾週後，他了解到他的計算機感染了惡意軟件的程度。

一個接近的電話

羅伯特·希頓在與格雷戈里·哈里斯交流時並非魯莽。他做了他所謂的“一些基本的安全衛生檢查” - 我們每次收到我們都沒想到的電子郵件時都應該執行的檢查。他確認發件人的地址是在cam.ac.uk上託管的，他還確保該鏈接指向一個URL，該URL也是劍橋大學網站的一部分. Heaton甚至用Google搜索了他正在與之交流的人的名字，儘管他無法找到太多信息，但他並不特別懷疑。

然而，事實證明，格雷戈里哈里斯很可能是一個假人，羅伯特希頓點擊的鏈接實際上是惡意的。網絡犯罪分子設法突破劍橋大學的安全，他們創建了兩個新的電子郵件地址，並使用亞當·斯密獎獎勵場景誘騙受害者訪問幾個預先上傳的網頁，這些網頁旨在感染Mac用戶的惡意軟件。 根據Mac安全專家Patrick Wardle的說法 ，有效載荷是一個名為OSX.NetWire.A的後門。

其他用戶報告了同樣的攻擊並聲稱在他們的情況下，它是成功的。和他們一樣，羅伯特·希頓當時正在使用Mac，然而，他沒有受到感染。為什麼？

他唯一的優點是他選擇的瀏覽器是Google Chrome。他打開的網頁包含一些惡意JavaScript代碼，利用了Mozilla Firefox中的零日漏洞。如果Heaton在Firefox中打開鏈接，他就會被感染。

Mozilla現在修補了這個漏洞，那些沒有更新瀏覽器的人應該盡快完成。

黑客也犯了一些錯誤

正如Heaton在他的博客文章中指出的那樣，如果惡意網頁上寫了“在Mozilla Firefox中查看此頁面”的內容，那麼攻擊就會更加成功。他們本可以在選擇目標方面做得更好。

整個攻擊的目標是竊取加密貨幣。最初，這些騙子以Coinbase員工為目標，但在成功有限之後，他們擴大了網絡並開始攻擊他們認為擁有一些數字硬幣的人。然而，就羅伯特·希頓而言，他們把目光投向了錯誤的人。他在博客文章中指出，他從來沒有真正對加密貨幣有任何重大興趣。

這並不會讓整個故事變得更加令人擔憂。安全專家不會停止告訴我們為了保持安全而需要做些什麼，但是在一個計劃得好的攻擊的情況下，這顯然不夠明確。雖然真實世界的事件很少涉及零日漏洞，但上面的攻擊向我們表明，當他們這樣做時，即使技術上有能力，安全意識的用戶也可以完全無能為力。真正令人遺憾的是，我們可以做的不僅僅是希望適當複雜的攻擊盡可能少地進行。