黑客利用最古老的伎俩之一获得对 Uber 网络的“完全访问权限”

更新（2022 年 9 月 20 日）：Uber 发表声明，称勒索软件黑客组织 Lapsus$ 是此次攻击的潜在实施者。

Uber 昨天宣布，在一名匿名人士获取了数十份安全数据（据称包括电子邮件、云存储和代码存储库）后，该公司已关闭了其许多内部通信渠道和工程系统。这位仍然身份不明的自称对此负责的人随后向《纽约时报》和 Yuga Labs 的一名安全工程师提供了他们工作的截图作为证据。截图显示，他们使用最简单、最古老的伎俩之一获得了令人震惊的全面且可能造成毁灭性的 Uber 内部运作权限：简而言之，他们欺骗一名 Uber 员工向他们提供密码。

网络安全领域使用的更正式的术语是“社会工程学”，路易斯安那州立大学 IT 安全和政策办公室将其定义为不良行为者利用“人际交往（社交技巧）获取或窃取有关组织或其计算机系统的信息”。 《纽约时报》报道，在本案中，个人向一名自称是 IT 官员的 Uber 员工发送了一条短信，并成功说服他们交出密码。

[相关：如何防范网络钓鱼和其他电子邮件攻击。]

从那里，他们进入了 Uber 的系统，并接管了一名员工的 Slack 个人资料，发布了（令人钦佩的）直截了当的更新：“我宣布我是一名黑客，Uber 遭遇了数据泄露。”然后他们继续争辩说 Uber 司机应该获得更高的工资。 《纽约时报》还指出，黑客从那里获得了更多系统的访问权限，甚至在内部员工信息页面上发布了一张“露骨照片”。

尽管公众经常将黑客攻击与使用难以理解的编程语言的复杂网络攻击联系起来，但绝大多数黑客攻击都归结为这些相对简单的社交工程和网络钓鱼诈骗。一份报告表明，只有 3% 的恶意软件试图利用技术问题，而其余 97% 只是社交工程手段。2020 年，青少年采用了类似的策略成功访问了 Twitter 的服务器，其他人在今年早些时候攻击微软时也采用了社交工程手段。

[剩余内容：诈骗者正在使用韦伯望远镜照片来隐藏复杂的恶意软件。]

目前尚不清楚这起最新的社交工程事件何时结束，但一位接受《纽约时报》采访的安全专家推测，“他们可能就是那个加入 Uber 却不知道该做什么的孩子，正在享受人生中的美好时光。”今天下午早些时候，Uber 在 Twitter 上发布了一条更新，告知消费者用户的敏感数据（如行程信息和路线）似乎没有受到任何损害。此外，该公司表示，昨天被关闭的内部软件今天正在慢慢恢复。无论如何，这是一个强烈的提醒，要仔细检查你从“老板”或“IT 同事”那里收到的下一条随机短信的身份。