安全专家闯入建筑物以帮助加强防御 - 彭博社

Margi Murphy

2023-02-16

一个带有人脸识别技术的监控摄像头于2019年9月10日星期二运行。

摄影师：Anindito Mukherjee/BloombergJenny Radcliffe闯入建筑物并不意味着她是罪犯。她只是被付钱去像一个罪犯一样思考。

Radcliffe是总部位于英国利物浦的人类因素安全咨询公司的负责人，她的工作是在小偷、骗子或黑客之前找到客户的物理和计算机安全系统的漏洞。有时这意味着她的团队在线上搜索客户的漏洞，试图从毫不知情的员工那里收集密码和其他数据。但这也包括尝试以任何可能的方式访问公司情报，包括潜入禁止进入的办公空间。

黑客继续利用他们的智慧来瞄准受害者，人类的错误判断在Verizon的2022数据泄露调查报告中占82%的关键驱动因素。公司正在支付像Radcliffe这样的人利用她的心理和观察力，以及老式的盗窃策略，帮助他们堵住任何漏洞，以免坏人找到它们。

这意味着整夜整夜地搜寻办公楼，寻找绕过保安的方法。有时，Radcliffe和她的团队试图通过坐在办公地点附近的酒吧里倾听员工的谈话来了解目标。她告诉我，这样的观察有助于她写出更具说服力的钓鱼邮件，并更好地融入其他员工。

这都是一个综合安全观的一部分，结合了数字保护和保护现实生活中的地点，”她说。

“实体进入仍然是渗透客户的一种非常有效的方式，在间谍活动中仍然被使用，”Radcliffe补充道。“如果我能带着一台笔记本电脑走出去，我们就可以进入这台笔记本电脑。”

她说，完成对客户整体安全性的分析可能需要长达两周时间和一个由四名承包商组成的团队，出于保密原因，她拒绝透露任何客户的姓名。她也没有透露任何具体的费率，尽管如果她被客户的警犬追赶，那就是额外费用。

“社会工程师的关键技能是即兴表演，”她说。“在那一刻，你必须能够丢下文件，让某人打开门，或者溅水让保安放你进去。要做到这一点，你真的需要非常了解那家公司。”

她说，一个典型的策略是观察员工何时使用捷径或打开侧门而不是主入口，然后尝试那个入口。然后，Radcliffe试图进入建筑物的顶层。她说，员工不太可能质疑一个从楼梯下来而不是上去的陌生人。

一些客户给Radcliffe一个具体的目标，比如访问特定的计算机或进入公司董事的办公室。更常见的情况是进入一个办公室看看会发生什么。她告诉我，她发现了枪支、毒品和“总是”藏有酒精的地方。

“有证据表明存在工业间谍活动、浪漫联络和秘密商业交易，”Radcliffe说。“一些更不寻常的例子包括星球大战主题服装和一只在办公室里游荡的活猫。”

大约在90分钟左右，保安人员通常会发现有闯入者，Radcliffe说。

“我发现那时候你开始引起注意，”她补充道。

试图闯入建筑物是有风险的，即使是按照正确方式进行的人也是如此。2019年，爱荷华州警方逮捕了两名被聘请潜入州司法建筑物的安全专家。在安全公司Coalfire的员工触发了法院警报后，警察将他们拘留，导致了一个持续数月的法律纠纷，直到检察官撤销了轻罪指控。

这样的测试仍在继续。

毕竟，无论是亲自还是在线上的数据窃取，都是关于诱使某人做某事，正如Abnormal Security的威胁情报主管、前联邦调查局特工Crane Hassold告诉我的那样。

“如果你给某人发送一封电子邮件，说他们如果不通过这个链接验证本周的工时就不会得到支付，我保证他们会点击它，无论他们接受过多好的培训，”他说。

本周我们学到了什么

学者告诉我，国家媒体正在利用土耳其和叙利亚的悲剧性地震谋取自身利益。

俄罗斯国有控制的Twitter账号正在展示莫斯科的人道主义援助，同时“抨击美国和更广泛的西方国家据称阻碍了对土耳其和叙利亚人道主义援助的支持”，据安全民主联盟的研究员乔·博德纳称。俄罗斯国有控制的RT频道的一位主持人声称，西方国家试图破坏国际救援工作。

2023年2月12日星期日，土耳其哈塔伊一家被摧毁的商业场所外的残骸。摄影师：大卫·隆贝达/彭博社博德纳发现，俄罗斯国有媒体和外交账号在48小时内在超过1,200条推文中提到了“土耳其”、“叙利亚”或“地震”。俄罗斯的Sputnik土耳其和RT阿拉伯频道比其他任何受监控的账号更频繁地发布这些短语。

地震帮助这些通常表现不佳的账号获得更多关注者，博德纳补充说。他说，在那段时间内，Sputnik土耳其是第二个被转发次数最多的国有媒体账号，获得了超过1,300名关注者。这是不寻常的，因为Sputnik土耳其的账号在1月1日至2月5日期间失去了超过2,700名关注者。

我们正在阅读的内容

以色列承包商团队声称通过使用黑客攻击、破坏和虚假信息操纵了全球30多次选举。

美国打捞行动正在从官员称为中国监视气球的“重要残骸”中恢复物品。

朝鲜黑客勒索医疗机构，以资助进一步的网络活动，根据华盛顿和首尔的说法。

**有罪：**一名俄罗斯商人策划黑入美国网络窃取内部信息，然后进行金融交易。

数据经纪人正在出售有关心理患者的敏感信息，监管不足。

一位意大利针织设计师正在销售服装旨在误导依赖人工智能的监视。

这条来自Capable Design的Instagram帖子展示了一件部分设计用于欺骗AI识别系统的毛衣。勒索软件攻击 工业公司去年增加了87%，Dragos表示，尽管据报道发生了勒索活动的下降。

法官命令Facebook 和Gibson Dunn & Crutcher LLP支付近100万美元，因为他们欺骗性地否认Facebook未经许可分享私人用户数据。

美国国税局仍然 没有提供ID.me的替代方案，在一场关于面部识别技术的争议一年之后。

美国和英国对与TrickBot黑客团伙有关的七名俄罗斯人实施制裁。

暗网收入去年急剧下降，在关闭了一个俄语市场之后。。

钓鱼行动

在最近的一次采访中，一位消息来源告诉我黑客如何利用现代汽车技术谋取私利。有一次，我为自己的二手2006年本田思域（今年只坏了三次）相对隐匿而感到高兴。

你能黑进卡带播放器吗？请寄明信片回答。

**有新闻线索吗？**您可以联系Jeff Stone，邮箱为[email protected]。Margi Murphy的邮箱是[email protected]，也可以通过Signal联系她，号码为+1 (415) 254 3919。您还可以安全匿名地向我们发送文件，使用我们的SecureDrop。

安全专家闯入建筑物以帮助加强防御 - 彭博社

更多网络安全即将到来

本周我们学到了什么

我们正在阅读的内容

钓鱼行动

更多来自彭博社