一个不知名的党派发出了一封信,兜售贝莱德首席执行官 Laurence D. Fink 对环境事业的新发现。紧接着发布新闻稿,揭穿恶作剧电子邮件,并表示这样的举动对贝莱德的“短期盈利能力”不利。这些信息被放在一个 BlackRock 网站上。包括 CNBC.com和英国“金融时报”在内的主流媒体都迅速抓取了这一消息。 然而,这不是真的。 这只是一场大师级的欺骗。就像被黑客入侵的美联社 Twitter账户在2013年发布恐怖新闻那样,这些恶搞充分表明了社交工程策略可以如何注入新闻周期,让投资者和公众感到困惑。 目前还不知道这是谁干的,有可能是个人也可能是组织。但不论如何攻击者都肯定花了大把的时间作准备,这就是为什么它能成为完美的社交工程攻击案例。 社交工程是网络安全中常用的术语,意思是让您可以心甘情愿地去做一些符合社交工程师最佳利益的做法,而社会工程师往往是犯罪分子。 伟大的社交工程可以让你感到自己迫切需要给某人送钱,或者通过操纵你的朋友、同事或专业人士问你一个看起来简单却非常致命的问题。 社交工程师基本上能找到一种情感勾引 — — 你接受帮助的欲望、你不愿意产生摩擦的意愿,或者在这种情况下,大多数记者希望成为第一个拿到好故事的人。也就是在本案例中,为什么主流媒体全被骗了。 在这种情况下,攻击者非常复杂。他们创建了一套几乎无法区分真伪的网站和电子邮件。 由欺骗者创建的网站非常详细。唯一的不同是一个指向blackrockesg.com的 URL,而不是真正的 BlackRock 网址 — blackrock.com。欺骗网站上的每个其他链接,包括对 Fink 过去的投资者信件的引用,都会导向真正的 BlackRock 网站。 电子邮件很长,很详细,包括在真正的投资者信件中那种常见的公司发言,可谓五脏俱全。欺骗者还预计到了很快会出现的否认,并且已经准备好了一份假的新闻稿,很明显攻击者对对冲基金进行微妙的挖掘,暗示它不会采取建议的亲环境立场,因为它不利于“盈利”。 目前还不清楚谁是托管这个欺骗性网站的人。不过,我们介绍这一事件并不是仅仅警告新闻记者要小心骗局,而是……请您想想同样的方法还能达成什么样的目的?
0 Comments
Leave a Reply. |