據(jù)外媒報道,在業(yè)界享有盛譽的安全研究員Biran Krebs日前在博客上寫了一篇文章��,他在文章中指出����,自己的PayPal賬號遭到一名黑客攻擊并隨后被用來向一名已經(jīng)被美軍認(rèn)定死亡的ISIS恐怖份子轉(zhuǎn)賬。Krebs表示�����,由于PayPal對用戶認(rèn)證機制安全性的不上心導(dǎo)致了這一情況的發(fā)生�����。Krebs已經(jīng)為《華盛頓郵報》寫文章多年�����,特別是在網(wǎng)絡(luò)犯罪集團方面����,最近他開了一個安全博客并非常受歡迎。
據(jù)Krebs自己介紹�����,在他的職業(yè)生涯中他有過跟PayPal多次接觸的經(jīng)歷,但這次的網(wǎng)絡(luò)攻擊事件令他意外�����,他意外這家公司的客戶技術(shù)支持程序是多么地落后��、他意外任何人竟只需要一點點的信息就能攻下某位用戶的賬號�����。
幾次社交工程攻擊就可以輕易騙過PayPal電話中心的工作人員
黑客居然通過打電話給PayPal的客戶支持中心就控制了Krebs的PayPal賬號����。據(jù)了解����,黑客只需要向客服提供Krebs本人社保號的后4位和一張舊信用卡號碼后4位就能要求為該賬號執(zhí)行密碼重置。
于Krebs此前曾經(jīng)曝光過多個網(wǎng)絡(luò)犯罪團隊����,所以他自己也遭到過數(shù)次攻擊,并且他的個人資料在網(wǎng)上許多地方都能找到����。如果是普通人����,黑客同樣也能獲取到他們的信息����,比如通過網(wǎng)絡(luò)攻擊或利用地下黑市���。
Krebs懷疑��,即便在他向PayPal反應(yīng)并得到后者會緊密監(jiān)控的保證之后�,他的賬號還遭到了2次攻擊。
PayPal的用戶驗證還停留在90年代的水平
一個電話就能搞定一個賬號暴露出了這家即將步入2016年的公司其用戶驗證系統(tǒng)的落后�。
Krebs賬號被盜用顯然是蓄意發(fā)起的網(wǎng)絡(luò)攻擊,因為黑客在控制Krebs的賬號之后打算將其賬號中的錢轉(zhuǎn)到一名ISIS恐怖分子的賬號上����。這名恐怖分子則就是ISIS網(wǎng)絡(luò)部門CyberCaliphate的前首領(lǐng)Junaid Hussain,另外他還曾經(jīng)是TeaMp0isoN的成員�����,其黑客名為TriCk�。
很早之前�,Krebs就曾經(jīng)建議PayPal重新審視下他們的備用用戶認(rèn)證機制���,并對其進行升級進而跟上現(xiàn)數(shù)字化世界的水平�����。
注:本文不代表贏商薈觀點���,如有涉及版權(quán)或其他問題,請及時與我們聯(lián)系��,我們將在第一時間予以處理��。
更多跨境電商資訊���,請掃描二維碼關(guān)注我們微信公眾號【跨境電商贏商薈】
