反诈骗专家也被骗！安全专家Troy Hunt成为钓鱼攻击受害者

即便是网络安全专家，也无法完全避免网络钓鱼攻击。著名网站Have I Been Pwned的创始人特洛伊·亨特（Troy Hunt）便是一个典型例子，近日他公开承认自己被一封钓鱼电子邮件欺骗，导致他的个人博客订阅者的电子邮件地址被暴露，这一事件揭示了网络钓鱼手段的隐蔽性与狡猾。

网络钓鱼攻击的巧妙设计

这次针对亨特的钓鱼攻击源自一封精心准备的邮件。亨特收到一封声称来自邮件营销服务商Mailchimp的电子邮件，邮件内容声称由于垃圾邮件投诉，他的账户已被限制，并要求他立即登录以恢复账户。当时，亨特正处于时差和疲劳的状态，这让他错过了几个警示信号，比如密码管理器未自动填充登录信息、域名不符以及邮件来源地址的异常。亨特没有仔细核查邮件发件人，便点击了链接。

虽然亨特迅速意识到自己上当，及时更改了登录信息，但攻击者在此之前已导出了一个包含16,000多个电子邮件地址的邮件列表，这些地址包括当前和已退订的博客订阅者。

亨特迅速公开了这次攻击。幸运的是，这次攻击并未波及“Have I Been Pwned”平台的安全性，只是订阅亨特博客的人接下来可能要提防冒充亨特的电子邮件。

此次攻击涉及的安全漏洞

亨特强调这次攻击是“高度自动化的”。攻击者的目的是在亨特采取任何预防措施之前立即导出邮件列表。亨特指出，这一事件突显了密码和双因素认证（2FA）在防范网络钓鱼攻击中的局限性。尽管他启用了双因素认证，但钓鱼攻击仍然突破了这一防护，因为攻击者可以在输入一次性口令（OTP）后立即转发该信息。

亨特进一步表示，尽管他从未成为钓鱼攻击的受害者，但这次事件提醒他，安全防护并非万无一失。他总结道：“这次事件让我意识到，安全是我们共同的责任，网络钓鱼攻击不仅仅是个别用户的问题，网站和服务商需要采取更强的防护措施，比如采用加密密钥或不可被网络钓鱼攻击绕过的双因素认证。”

此事件也引起了网络安全专家的广泛讨论。Black Duck首席安全顾问Aditi Gupta表示，“这次攻击显示了坏人如何利用恐惧和人们的疲劳状态来诱骗他们。尽管使用密码管理器能有效防范大部分攻击，但在点击链接或输入凭证之前，检查发件人身份和域名是至关重要的。”

安全意识供应商KnowBe4的安全倡导者Erich Kron也指出，“这一事件提醒我们，即使是经验丰富的专家也可能成为精心设计的钓鱼攻击的受害者。这也进一步证明了我们不能羞辱那些不小心点击链接的用户，相反，亨特勇敢地公开自己的错误，并借此教育公众，这值得我们赞扬。”

提高网络安全意识的关键

亨特的遭遇也为我们提供了几个提升网络安全的关键教训：

防范人为错误：攻击者并不仅仅利用技术漏洞，而是通过操控人的心理弱点，诱使受害者犯错。

谨慎处理紧急邮件：特别是那些要求提供登录凭证的邮件，务必确认邮件来源和链接地址的真实性。

使用密码管理器：密码管理器能有效防止用户在登录过程中犯错，注意当它未自动填充凭证时，这可能意味着你正在访问一个虚假网站。

定期监控账户活动：即使是网络安全专家，也需要定期检查个人账户是否有异常活动，尤其在遭遇钓鱼攻击后。

公司数据保留政策的审查：企业应审查其数据保留策略，避免存储过期或未订阅的用户数据，因为这些数据可能成为攻击者的目标。

亨特的经历再次证明了网络安全防护的重要性和复杂性。钓鱼攻击不分对象，无论是普通用户还是专家，都可能成为攻击的目标。这表明，尽管传统的安全防护手段如密码和双因素认证有效，但在面对日益精细化和高度自动化的社会工程攻击时，仍然存在局限性。因此，除了继续完善技术防护手段，推动更加智能化的身份验证技术外，持续提升公众的网络安全意识同样至关重要。只有技术与教育双管齐下，才能有效应对愈加复杂和多变的网络安全威胁，保障个人与企业的数字安全。

内容来源：

https://www.csoonline.com/article/3854489/even-anti-scammers-get-scammed-security-expert-troy-hunt-pwned-by-phishing-email.html

推荐阅读

｜

安全KER

安全KER致力于搭建国内安全人才学习、工具、淘金、资讯一体化开放平台，推动数字安全社区文化的普及推广与人才生态的链接融合。目前，安全KER已整合全国数千位白帽资源，联合南京、北京、广州、深圳、长沙、上海、郑州等十余座城市，与ISC、XCon、看雪SDC、Hacking Group等数个中大型品牌达成合作。

注册安全KER社区

链接最新“圈子”动态