您好,欢迎来到三六零分类信息网!老站,搜索引擎当天收录,欢迎发信息
免费发信息
三六零分类信息网 > 黄南分类信息网,免费分类信息发布

一个工程师建了个钓鱼网站,只是为了表明原网站有多脆弱

2023/7/24 22:25:09发布48次查看
*本文只能在《好奇心日报(qdaily)》发布,即使我们允许了也不许转载*
黑客为了盗取用户信息、仿冒大公司网站的案例层出不穷,但是公司错把外链指向假网站的新闻却不多见。
equifax 就犯了这样的错误。最近,软件工程师尼克·斯威廷(nick sweeting)仿冒 equifax(一家美国信用报告公司,译注) 官方网页建立了一个虚假网站 securityequifax2017。但实际上,正确的网址应为 equifaxsecurity2017,它是 equifax 为此前的信息泄露危机新开设的网站,这起事件或已导致 1.43 亿美国人的信息外泄。然而,equifax 的 twitter 账号竟然推送了多条消息,把假的钓鱼网站地址发给了消费者。乌龙事件公开后,他们才删除了这些消息。
截至上周三下午,chrome、firefox 和 safari 浏览器均已屏蔽了假网站,斯威廷随后也撤下了网页。据他透露,网站关闭时已经获得了约 20 万点击量。
equifax 为用户信息泄露事件建立的网站(左)和假的网站(右)。一名软件工程师创建了该虚假网站,希望equifax 的网络安全漏洞能引起关注。
不过好在斯威廷写明了自己是假冒网站,所以并未有人受到损失。假网页布局和原版一模一样,连顶部提示也完全相同,上面写着:“防范身份信息盗用、监控您的信用档案,请点击此处免费注册。”但是假网站的大幅标题有所不同,斯威廷写道:“网络安全事件和重要消费者信息完全是假的。为什么 equifax 的域名这么容易被钓鱼网站仿冒?”
黑客很容易就能创建虚假 equifax 页面,如果当真有人在钓鱼网站上注册了假的身份防盗服务,并提供了姓名和社会保障号码的后 6 位数字,那么后果不堪设想。(斯威廷假网站上的注册页面不可用,所以网站不会保存用户提交的信息。)
他们不仅推送了假的链接,而且推送了 3 次。#equihax
斯威廷在一封邮件中表示,他创建假冒网站完全是为了引起人们重视,因为 equifax的安全措施实在太薄弱了。他写道:“equifax 的网站实在太容易仿冒了。我只用了 20 分钟就完成了,我敢保证已经有人搭建了真的恶意钓鱼网站。”
“人们应当呼吁 equifax 换一个更可靠的域名,”他补充道,“我希望引起大家的重视,既然只需 10 美元就能建个站,我就着手行动了。”
周三,equifax 在一份简短的声明中表示,公司已经删除了所有包含假冒链接的消息。声明写道:“很抱歉给您带来了困惑。请消费者警惕仿冒 equifax 的虚假网站,正确的网址是https://equifaxsecurity2017,您可以前往此网站了解更多信息,并免费注册信用监控服务,我们公司的主页则是 equifax。其它宣称由 equifax 运营的网站如非来自以上两个页面,请务必谨慎访问。”
当被问及 equifax 为何新建了独立网站,而非在 equifax 下创建子域名时,公司发言人玛丽萨·萨尔西内斯(marisa salcines)未能予以回应。
网络安全专家表示,新建域名是个重大失误。黑客无法在 equifax 域名下新建网页,所以如果公司网站能托管在那里,用户就可以轻易分辨真假。
卡内基梅隆大学(carnegie mellon university)信息系统专业教授拉胡尔·特朗(rahul telang)表示:“显然一开始就应该这么做,只要在官网下建立一个子域名,那么有人想仿冒的话,就很容易识破了。”相反,equifaxsecurity2017 这个网站看起来一点也不正规。特朗教授称自己第一眼都无法确定真伪,不知道在这个网站上提交个人信息是否安全。
斯威廷在邮件中解释说,只需使用 linux 命令“wget”就可以下载网站全部内容,“包括所有图片、html 文档和 css 文档等。”
“使用 wget 命令就能复制下整个网站,再花 5 美元租用一台服务器,把复制好的网页放上去,整个过程极其简单。我的服务器目前采用 ssl 认证,和 equifax 真实的站点相同,所以从认证角度而言,用户根本无法区分真的站点和我的服务器。”
特朗教授认为,equifax 的做法表明其从未料想到数据会被泄露,也从未对此有所防范。他说:“如果没有应急预案,那就可能发生各种意外。equifax 就是很好的例子。”
equifax 错误推送的 twitter 消息均以“-tim”结尾,或许代表了发布消息的雇员名字。equifax 发言人并未透露公司是否会对当事人进行处罚,但斯威廷表示自己不希望涉事员工因此被解雇。
“他们很可能只是用 google 搜索了网址,结果找到了假的网站,”他说道,“真正应该负责的是那些最初决定建立不正规网站的人。”
翻译 熊猫译社 智竑
题图来自 pexels
2017 the new york times
黄南分类信息网,免费分类信息发布

VIP推荐

免费发布信息,免费发布B2B信息网站平台 - 三六零分类信息网 沪ICP备09012988号-2
企业名录