作者：潘春燕编译　

　　【IT168专稿】一家《财富》1000强公司的首席财务官用鼠标点击一封似乎是直接下属发来的电子邮件。实际上，对方是他素不相识的人；确切地说是盯上了这位薪水丰厚的主管的犯罪分子。对方通过公司网站和社交网站翻阅该公司提交给证券交易委员会的文件，并且搜集个人资料。

    　如今，网络犯罪分子摆好了架势、准备发动攻击，以便搜寻这名首席财务官的硬盘，窃取信用卡号码、访问公司数据库或者其他专有信息所需的密码。

    　首席财务官只要轻轻点击一下鼠标，就会遇到大麻烦。如果你是他手下的IT经理，同样不能幸免。

    　如果说兜售伟哥的垃圾邮件发送者和骗取信用卡号码的网络钓鱼者是进行地毯式轰炸的计算机犯罪分子，那么所谓的针对公司高管的攻击者就是狙击手。他们选择的对象比较固定，通常是数量比较少、但很有钱或者地位很高的个人。

    　他们获取的目标是公司以及/或者个人的数据，这两种资料对攻击者来说极其有利可图。黑客们可以利用获得的信息在其他地方造成进一步的破坏；或者更有可能的是，他们会通过在线地下服务器兜售或者转手卖掉这些信息，从中牟利。

    　这几种有针对性、以公司高管为对象的攻击目前还很少见，不过呈上升趋势；这几种攻击非常狡猾，足以令普通的IT经理倒吸一口冷气。

    　跟踪资金路径

    　Matt Sargeant是总部设在纽约的安全服务提供商MessageLabs Ltd.的高级反垃圾邮件技术专家，他说，针对公司高管的攻击“大概在一年前开始出现，当时数量还非常少，但此后就一直迅猛增多。”

   　 去年夏天，24岁的俄罗斯人Igor Klopov和另外四个人受到纽约大陪审团的指控，罪名是窃取了150万美元，并且企图另外从十几名有钱人窃取1070万美元。Klopov借助《福布斯》杂志上的全球400大富豪排行榜，选择下手目标。这些富豪包括得克萨斯州的富商Charles Wyly以及TransUnion信用局的总裁Anthony Pritzker（后者是以经营君悦饭店闻名的Pritzker这个显著家族的成员）。

    　美国政府指控：Klopov发现了有关一些受害者的房地产和信用额度的信息（有许多信息是公开的），然后利用这些信息建立了档案。他还在Monster.com、CareerBuilder.com以及类似的就业网站上招募同伙。

    　这帮人伪造了身份，然后利用伪造身份来联系受害者的金融机构（JP摩根大通银行、美林和富达投资公司），试图获取受害者的账户信息、骗取支票簿副本以及从事类似勾当。这些金融机构识破了骗局后，立即汇报了当局。

    　一家《财富》500强金融机构的IT经理说，他所在公司最近也遭到了针对公司高管的攻击。这一回，这家银行的一名主管在家里工作时，笔记本电脑遭到了黑客攻击。黑客窃取了密码和登录资料，试图进入银行的部分账户。这位不愿透露姓名的消息人士表示，对方最后没有得逞，事后查明来自俄罗斯的IP地址。

    　数据库和安全顾问George Brown说，他总是告诉他的那些CEO客户，要积极保护好私人信息。

    　Brown是新泽西州切里希尔的数据库解决方案公司的CEO，他说：“现在网上一片混乱。上市公司不得不公布有关公司高管的大量信息，所以这些信息已经唾手可得。我告诉他们不要把更多的信息放到社交网站上，免得节外生枝。如果没有绝对必要，不要在网上公布任何私人信息。”

    　有位高管是波士顿地区的一家健康医疗组织的CIO，她对此就有切身体会。虽然她说自己没有直接遇到过任何有针对性的攻击，但在处理各种电子邮件时却谨小慎微。她强调：“我平时不会打开任何电子邮件，除非绝对有把握，知道邮件是谁发来的。如果我错失了重要信息，对方会打来电话。”

    　这位CIO说，她所在组织的IT开支当中用于多层安全的比例在逐年增加，她也不参与任何商界社交网站。她建议：其他高管也应当这么做。那么可以公开谈论安全问题吗？绝对不要这样，她说，“除非你想成为攻击目标。”

　　社会工程学伎俩愈演愈烈

    　一想到公司高管有可能成为攻击目标，IT经理们的血压就不由地升高，这有两个原因：

•     不法分子经常植入狡猾的特洛伊木马来攻击公司的系统
•     特洛伊木马需要熟悉公司的内部情况才会得逞

    　不法分子通过公司的内部消息人士来熟悉情况，而这些消息人士知道成为攻击目标的主管可以访问哪些数据、对方倾向于信任另外哪些员工。

    　赛门铁克公司安全响应小组的高级首席研究员Zulfikar Ramzan说：“如果我是攻击者的话，总能够找出某个技术上的漏洞，然后利用它，但我也需要社会工程学手段。如果我想攻击某家公司的CEO，为了让对方相信，我去上商业信用局查询这家公司的记录，找到联系人，然后编写一封邮件，佯称对方在商业信用局的评级出了问题。”要是这封邮件看上去合情合理，CEO可能至少会看一眼。

    　单单在2007年9月12日和13日这两天，MessageLabs就发现了1100封电子邮件发给全球各地多家公司的高管。这些邮件从表面上看来自一家职业介绍所，利用微软错误信息引诱受害者点击所附的RTF附件。该附件所含的可执行文件把两个文件安装到了目标计算机上，然后把信息传回给不法分子。

    　总部设在赫尔辛基的F-Secure安全公司跟踪分析类似威胁已有两个年头。F-Secure公司的首席研究官Mikko Hyppönen说：“这些案例显然表明，攻击者事先花了一定的时间和精力来查找及研究目标。”

    　犯罪分子在设计这种邮件、选定收件人时，不但利用了相对复杂的软件工具，还利用了许多公开发布的有关公司主管的信息。

    　后一种信息来自美国证券交易委员会的文档和公司网站，另外还来自社交网站，包括LinkedIn、ZoomInfo、Facebook甚至MySpace。公司主管们在这些网站上发布个人信息，别人只要留意一下，就能看到这些信息。利用社会工程学伎俩的人就可以利用工作经历、所读大学以及负责的重大项目等方面的信息，编写收件人可能会打开的邮件。

   　 Hyppönen说：“这问题很严重，因为虽然攻击者从公司外部发来电子邮件，但邮件看上去像是内部发来的，好像发件人与攻击目标有工作上的联系。发件人似乎就是在同幢楼办公的同事。”

    　这种情况下，存在漏洞的某个Word或者Excel文件成了传播特洛伊木马的途径。“它实际上是一个文档，但受到了破坏；它会导致你运行的Word版本崩溃，进而运行漏洞。”

   　 F-Secure看到过这样一些案例：漏洞代码稍加修改，结果目标公司在运行的某个反病毒程序就发现不了它――黑客事先摸清楚了对方用的是哪一种反病毒程序。由于黑客对代码没有大动手脚，所以更难查出漏洞代码。

　　内部人员在搞鬼？

   　 也许更加让人不安的是，攻击者了解公司的安全系统很可能意味着对方就在公司工作，要不就是认识之前或者如今在公司工作的人员。

    　Hyppönen 估计，F-Secure在近两年观察到了20到25起这样的攻击。他说：“这不是很普遍，但是一旦发生这样的情况，确实是一个严重问题。有时候，系统管理员查看防火墙日志以及用户在何处连接网络、查找异常情况时，才发现安全泄密事件。他们有可能发现，研发部门的某两个工作站连接到了东欧国家的服务器，其实它们不应该连接。”

    　在其他情况下，由于漏洞有时候使用软件rookit，用户可能开始会遇到PC问题。然后，IT人员运行F-Secure的BlackLight或者另一款rookit检测工具来进行调试、查找问题，结果他们怀疑可能是恶意软件在作祟。

    　那么这些犯罪分子到底是哪些人？他们想用公司主管们的数据来干嘛？

   　 对许多犯罪分子来说，窃取数据只不过是数字游戏而已。一个有效的信用卡号码能卖一定数目的价钱。而一名有钱高管的信用卡连同驾照号码和社会保障号码却可能价值10倍或者20倍。

    　赛门铁克公司的Ramzan说：“一个信用卡号码通常能卖到50美分到5美元，具体取决于信用额度等。如果你想购买带有社会保障号码的身份，可能要花10到150美元。”

   　 MessageLabs公司的Sargeant认为，不法分子更有可能是有组织网络犯罪团伙的成员，而不是公司间谍。Sargeant说：“获取所有这些信息，然后汇集起来牟取暴利，这无疑是纯粹的有组织的犯罪活动。直觉告诉我，这本身不是什么公司间谍行为；而是大量信息的买卖及交易行为，企图闯入账户。”

    　这倒不是说，公司间谍行为并不是这类活动的一个目标――Sargeant认为，只是说不法分子最有可能是第三方，而不是直接竞争的对手。“如果你设法弄到了某家公司（比如尼康）的具体信息，可能会试图把信息卖给这家公司的某个对手――你可以说‘佳能也许会感兴趣。’但我没有看到这一幕开始出现在诸多公司内部。”

    　F-Secure公司的Hyppönen不是这么肯定。他说，不法分子可能是有组织的犯罪分子、公司间谍或者两者的某种结合体。F-Secure受理的攻击大部分集中在某些类似行业，而针对的信息更多的是公司信息，而不是个人信息。

   　 他说：“我们其实并不知道这是外包行为还是间谍行为。受到影响的公司大多数都从事于同一个行业领域。”不过他不愿指明欧洲的哪些行业受到了影响。他又说，有些政府组织也成了攻击目标，包括某些国家的国会议员。

   　　如何打反击战？

   　　 观察人士认为，不法分子盯上公司防火墙内部的高层人士这种现象日益普遍，有以下三个原因：

    1、公司主管如今亲自收阅电子邮件，并使用自己的PC应用软件，而不是把这类任务交给行政助理去处理；

    2、他们出差时更经常携带小巧、安全性较低的数字设备；

    3、与其他人一样，他们也经常使用社交网络，在此过程中无意泄露了资料，从而可能成为犯罪分子的目标。

    　那么如何奋力反击呢？

   　 •增强办公室安全 首先，IT人员需要为上司增强安全，无论是办公室安全，还是上司希望在家工作时的安全，这需要确保桌面电脑、服务器和网络等层面的反恶意软件软件和服务都是最新版本。

    　最基本的安全措施（包括经常更改密码）也要得到严格执行；另外必不可少的是，Word、Excel 或者Acrobat的任何安全漏洞都要迅速得到妥善修补。IT人员应当尤其要确保：手持设备上运行的操作系统（这通常不在桌面反病毒程序的保护范围之内）同样总是及时更新。

   　 •向上司传达信息 IT管理人员应当告知高层主管，如果他们点击了通过电子邮件接收的Word、Excel或者PDF文档；如果应用程序似乎在启动，但随后关闭、重新启动，就要立即通知相关人员。Hyppönen解释，这有可能是特洛伊木马企图隐藏到相关应用程序里面。

   　 通过电子邮件发来的文档要求运行常驻宏指令时，公司主管以及任何计算机用户都应当格外小心。这种情况下，运用一些常识能派上用场。法律部门的人员需要首席运营官来运行Word宏指令，这合乎常理吗？如果不合常理，就不要运行。

    　•加强移动安全性。因为高层主管往往外出办公，所以IT人员必须确保上司使用了安全的网络连接做法。CEO和CFO外出时要连接到公司网络上，应该总是使用虚拟专用网（VPN）；另外还要告诉他们，千万不要通过未加保护的无线连接来发送各种机密信息，包括私人信息。

    　ABI Research是总部设在纽约州奥伊斯特贝的市场研究公司，专门研究分析新兴技术。公司的分析师Stan Schatt说：“公司主管这群人迫使许多企业并不情愿地为他们提供移动性。IT人员只好为需要使用Treo手机和智能电话来使用电子邮件的高层管理人员开通网络。”

    　但是“在许多情况下，同样这些主管不是特别小心，IT人员只好为这群人规定标准做法，比如采用VPN和安全家庭路由器等安全机制，”Schatt如是说。

   　 IT人员当中经常提到的一个主题是，习惯于享受特权的高管们不喜欢有人告诉他们如何、何时使用PC和手持设备。他们希望需要时可以随时随地使用这些工具，不管是在什么样的场合、什么样的安全环境。

    　许多高管甚至不通过VPN就使用电子邮件。前文所述的那家《财富》500强金融机构的IT经理说：“他们不习惯有人对自己指手画脚。”

   　 那家公司的一名主管把公司电话会议所需的800电话号码和通行码（pass code）放在了其共享的谷歌日历上。因为这些号码重复使用，这绝非小问题。“我们在谷歌上搜索了一下，结果到处都有这个号码，”那名IT经理说。“如果坏人想要获取信息，只要拨打这个号码，就可以听电话会议了。”

   　 •提防社交网络 最后就是社交网络这个全新领域。社交网络不但吸引了普通百姓，同样吸引了公司主管。一个重大区别在于，潜在的犯罪分子关注那些声名显赫的高管是心怀鬼胎的。

    　如果公司的高层主管在任何专业网站和社交网站上发布在公司的行踪和业绩的近况，可能面临更大的风险。

    　赛门铁克公司的Ramzan说：“我会建议，公司应当监控自己的员工把哪些信息公之于众。很多时候，人们向公众透露有关自己生活的很多细节。要是攻击者搜寻到了这些信息，可以为该人建立一份全面的信息档案，以后可以用来为窃取身份提供便利。”

    　简而言之，公司的IT专业人员一定要加强服务器、PC和网络安全技术；但更重要的是，他们需要确保他们支持的上司认识到社会工程学伎俩，因为这些伎俩可能会促使他们无意中泄漏了大量信息、银行账户甚至公司机密。

    　想揪出网络犯罪分子的老巢很困难。他们通常借助一系列“DNS跳跃器”（DNS bouncers）来传送收集而来的数据。这种跳跃器把数据从一台服务器发送到跨越国界的另一台服务器，以掩盖最终目的地。

    　他强调：“起初，信息好像是传送到某个东欧国家，所以马上想到‘这肯定是东欧国家。’但事实并不这么简单。”