以色列网络安全公司Imperva的一项最新研究显示,黑客与普通人在用户行为方面有着许多相似之处。

正如一些诚实的用户会对网络钓鱼信息立即作出反应一样,黑客也会对标题中暗示着信用卡资料、社会安全号码等重要信息的文档及文件作出反应。而且正如许多用户不重视自身的网络信息安全一样,黑客们也并不太注意隐藏其攻击痕迹,这就使他们很容易被侦查。

Imperva的研究人员试图通过自己进行网络欺诈而了解黑客的想法。正如黑客通过标题为“特朗普与希拉里的大爆料——这里有许多图片等着您”等类似诱人的链接侵入普通用户的帐户一样,Imperva团队在以色列理工学院学生的帮助下设立了“蜜罐”诱饵帐户。

这些伪造的账户中包含谷歌邮箱、云存储服务Dropbox等在线服务的账户信息,且其用户名、密码等资料亦被发布在暗网上,诱使黑客上当。几个月来,Imperva的研究人员跟踪了那些上钩黑客的活动,以确定黑客的思维方式。在收到约200次的黑客访问信息后,团队成员开始了分析过程。

他们发现,正如一些普通受害者不保护账户、使用 “123456”或“password”等易于猜测的密码那样,许多黑客也并不费心保护自己的身份。

该报告称,黑客原本可以采取多种措施避免被追踪,比如通过删除受害用户收件箱的登陆警报、删除发出的邮件、将已读邮件标记成未读等。但Imperva团队表示:“我们惊讶地发现,只有17%的黑客试图隐匿其痕迹,并且那些尝试隐藏的黑客也几乎不会使用行为隐匿技术。”

迟钝的黑客

该研究团队也称,黑客最先寻找的东西毫无意外地“是密码及信用卡号等敏感信息”。因此,Imperva伪造的账户内含的文件暗示了其内部包含重要的商业数据或金融数据,这都是黑客会优先选择的目标。

但黑客的做法并没有达到研究人员的期望:他们并未系统地对入侵账户进行探索。研究人员通过分析黑客的工作时间安排及其跳过一些具有诱人标题的文件、转而检查其他文件的事实发现:“他们手动地查找网上内容,并且下载时不会使用自动化工具进行检测。”

也许该研究最重要的发现就是黑客的工作缺乏自动化方式。“黑客的行动并不迅速。”该团队表示,“在获得进入账户的方法之后,黑客真正进入帐户的时间多数在24小时甚至更久。”

这就意味着,如果用户能迅速察觉账户被盗并更改密码,就有望阻止黑客入侵。

报告还称,黑客如果发现在暗网上获得的密码无效,就很有可能继续尝试进入其他账户。

“泄漏的凭据中只有不到一半被黑客所利用。”该团队表示,“一个解释可能是黑客可以访问太多数据,没有足够的时间来探索所有内容。”如果情况果真如此,那么黑客将可能会选择最小阻力的方法:只攻击容易侵入的用户,遇到阻力时就转移到下一个目标。

Imperva数据研究负责人伊斯科·马丁(Itsik Mantin)称:“通过研究网络攻击者,我们了解了许多信息,比如大多黑客都不会费心来隐藏其踪迹,这就意味着他们留下了证据。”

“此外,我们如果能够迅速探测到黑客攻击,就会知道密码更改之类的快速补救方法可以显著地降低攻击的成功率。这一经验证明:将威胁情报与可快速检测并降低漏洞风险的解决方案结合起来是十分重要的。”

————————

相关阅读:

以色列Cybereason研发网络攻击抵御新方法

以色列生物识别行为技术可辨别自动攻击程序

勒索病毒攻击过后备份及预防服务倍受关注

以色列研究人员称其新系统可防止黑客攻击视频

本文版权归《以色列时报》中文版所有,未经授权不得以任何形式转载或修改后转载部分或全部内容,违者必究。