上周末，推特上流傳的一張截屏圖片引起了注意。這次的騙局非常具有教育意義，值得學習借鑒。教訓就是：社會工程，只要用得有效，任何安全控制都形同虛設。

下圖是clearbit.com共同創始人阿列克斯·麥考發在推特上的。

顯示的是有人正在嘗試登錄Gmail賬戶的短信。這完全就是個騙局，但可以想一下，這條信息暗示了什么，又在要求什么。

該信息并沒有讓你輸口令，也沒有要求你的個人信息，更沒想控制你的Gmail賬戶。恰恰相反，它提供一種溫暖貼心的安全感，以及通過暫時鎖定賬戶來讓這種安全感更加深入的能力。

這種攻擊相當聰明，無疑是有成功案例的。它的上下文環境是成功的關鍵。該信息告訴受害者，有人正嘗試登錄他們的Gmail賬戶，并提供了有關“攻擊者”的基本ID。

由此，展開兩種場景：

懂點兒技術的，會意識到IP地址是可以偽造的，涉及到歸屬問題時基本沒什么證明力。而且，如果他們啟用了谷歌的雙因子身份驗證，并且經常使用此類功能，他們就知道像這樣的信息肯定是假的——因為驗證過程根本不是這樣的。

這部分潛在的受害者很有可能會忽略此信息，直接修改他們的Gmail密碼以保持安全狀態。

另一方面，加上攻擊者的ID，某種程度上確實有助于騙局繼續進展。對那些不熟悉IP地址機制的人來講，這一細節提供了一層合法性，尤其是在該地址不是他們所在區域的時候。此外，意識培訓常會鼓勵使用雙因子身份驗證，但很多使用者并不完全理解其功能特性。這種情況下，他們可能直到造成損失才會發現受騙上當了。

如此，該部分受害者更易于遵照信息指示行動，相信自己是在做正確的事。

這6位數字的價值到底是什么?

好吧，現在受害者手里有兩條信息了。一條警告他們說有攻擊——其實是誘餌，另一條來自谷歌——包含了6位驗證碼。大多數受害者不知道的是，最初的那條警告消息，其實就是真真切切的攻擊了。

發送第一條消息的人，目的就是觸發谷歌的雙因子身份驗證過程。只要攻擊者手握正確的密碼，而受害者又按照指示行事，他們終將獲得目標Gmail賬戶的訪問權。

人們經常在多個網站使用相同的口令。最近，幾億個賬戶剛泄露到網上，網絡罪犯們的潛在受害者數不勝數?？诹畋恍孤兜娜死锩?，有多少人會在Gmail上使用相同的口令呢?

這種情況下，攻擊者很可能已經有了用戶名和密碼，只差驗證碼即可完全控制該賬戶。對某些人而言，拿到了他們的谷歌賬戶，也就掌握了他們全部的網上身份。

這個攻擊為何如此狡猾的另一個原因，在于信息里的請求本身

有些網站會教育用戶避免將口令告訴陌生人，敦促用戶警惕通過電子郵件或電話討要口令的情況，讓用戶不要點擊鏈接，可能的話，還會培訓他們使用雙因子身份驗證。

人們依然會分享口令、點擊鏈接，甚至是很愿意這么做，但是，他們知道本不應該這樣。

不過，這個攻擊并不是通過電子郵件進行的，它是一條短信。沒要求口令，也沒讓受害者點擊鏈接。不過是讓受害者回復他們將要收到的驗證碼而已。

任何受過基本安全意識培訓的人都會告訴你：口令是很重要的，但你覺得非技術用戶(甚或那些有一定基本技術常識的用戶)，會高度重視6個隨機數字嗎?

顯然，他們應該重視，但問題是，他們會嗎?

很遺憾，他們真不認為這6位隨機數字重要到哪里去。這也是為什么此類攻擊會發生的原因所在。它利用的正是意識培訓將重點放在電子郵件和物理威脅上所造成的影響。除非雙因子身份驗證碼(2FA)在意識培訓里被單獨提出來，否則用戶不會保護這組6位隨機數。因此，如果你還沒把短信騙局加進你的意識培訓項目中，或許可以考慮添加一下。

帶身份欺騙的情況下，此類攻擊更難以防范

在美國，難以進行發件人ID欺騙。注冊短信發送短碼代價高昂，且過程繁瑣。因此，此類騙局一般來自于某個未知號碼，沒有與之相關聯的聯系人信息，很好識別出來。

然而，美國也有租借短碼的合法服務。此類營銷廠商在活動和要求方面非常嚴格，但也不能保證就完全無懈可擊。一旦攻擊者成功租到合法的短信發送短碼，他們就能讓短信看起來出自可信來源。

而在美國以外，什么門檻都沒有了，發件人ID欺騙不費吹灰之力，攻擊者想讓它看起來是谷歌發送的都可以，或者，讓它好像來自你自己的IT部門也行。

意識培訓有助提升安全性，但意識培訓項目不能是靜態的。隨著犯罪分子不斷創新騙術，培訓也應該隨之改變。

你的安全意識培訓中還沒有包含進此類威脅?趕快吧!

【編輯推薦】