鬼故事 - 天才小钓手

credit: unknown
灵感来源: twitter - PyroBatNL

故事开始

故事发生是发生在小粉工作公司的客服部门，
某天他们收到一封客诉信，而客诉内容长的文情并茂，
大意如下:

我在 OO 日购买你们家的产品，
结果收到的却是这样包装！
请给我一个合理的解释，照片我附上了
密码是：companyname

而附件本身是压缩档，里面夹带了恶意程序

而身为小粉家的资安顾问，看到这封信都觉得有趣，
以往对於这些客服的信都写得很烂，但这次手法明显进步，

还有一种常见的方式就是因为很多客服都会透过 skype 打电话，
攻击者会把名字相似的人(e.g. 大家英文名字都是 John) 拉进一个群组，
然後丢一个说薪资调整，要在今天下班前回覆。

至於被锁定的公司吗? 根据小粉亲友团分享，在你熟悉和你不熟悉的电商都收到过类似的信。

资安探讨

为什麽客服是常被钓鱼锁定的目标

我们常常看到电商被攻击，其实面向很广，而这边我们只讲客服吧。

会想攻击电商客服的组织通常是受雇於诈骗集团，
或是直接诈骗集团本身的骇客。

攻击这些人员的好处：

1. 快速获取个资，许多客服系统能够调阅的资料很多的，甚至是没打码可以直接调阅
2. 内部系统服务快速了解，客服除了要帮忙客户解决问题，查物流、上架等等的东西可能都是工作之一
3. 好接触、人员较多，攻击成功机率增加

老生常谈的定期做教育训练，但因为这些人员本质上就是要打开信箱检查客诉信，
所以导致有些两难，但笔者认为在客户资料上应该做些许权限控管。

不是客服直接进入系统任意调阅，因为一台客服电脑被攻击等於整个资料就外泄，
至少要看个资应该配上二次验证机制，或是手机 notification 验证，这样骇客要捞资料没办法立刻做，
笔者听过最快的偷资料纪录，骇客进来 10 分钟搞定从系统下载个资。