据外媒报道,在业界享有盛誉的安全研究员Biran Krebs日前在博客上写了一篇文章,他在文章中指出,自己的PayPal账号遭到一名黑客攻击并随后被用来向一名已经被美军认定死亡的ISIS恐怖份子转账。Krebs表示,由于PayPal对用户认证机制安全性的不上心导致了这一情况的发生。Krebs已经为《华盛顿邮报》写文章多年,特别是在网络犯罪集团方面,最近他开了一个安全博客并非常受欢迎。 据Krebs自己介绍,在他的职业生涯中他有过跟PayPal多次接触的经历,但这次的网络攻击事件令他意外,他意外这家公司的客户技术支持程序是多么地落后、他意外任何人竟只需要一点点的信息就能攻下某位用户的账号。 几次社交工程攻击就可以轻易骗过PayPal电话中心的工作人员 黑客居然通过打电话给PayPal的客户支持中心就控制了Krebs的PayPal账号。据了解,黑客只需要向客服提供Krebs本人社保号的后4位和一张旧信用卡号码后4位就能要求为该账号执行密码重置。 由于Krebs此前曾经曝光过多个网络犯罪团队,所以他自己也遭到过数次攻击,并且他的个人资料在网上许多地方都能找到。如果是普通人,黑客同样也能获取到他们的信息,比如通过网络攻击或利用地下黑市。 Krebs怀疑,即便在他向PayPal反应并得到后者会紧密监控的保证之后,他的账号还遭到了2次攻击。 PayPal的用户验证还停留在90年代的水平 一个电话就能搞定一个账号暴露出了这家即将步入2016年的公司其用户验证系统的落后。 Krebs账号被盗用显然是蓄意发起的网络攻击,因为黑客在控制Krebs的账号之后打算将其账号中的钱转到一名ISIS恐怖分子的账号上。这名恐怖分子则就是ISIS网络部门CyberCaliphate的前首领Junaid Hussain,另外他还曾经是TeaMp0isoN的成员,其黑客名为TriCk。 很早之前,Krebs就曾经建议PayPal重新审视下他们的备用用户认证机制,并对其进行升级进而跟上现数字化世界的水平。
