鬼故事 - 天才小釣手

credit: unknown
靈感來源: twitter - PyroBatNL

故事開始

故事發生是發生在小粉工作公司的客服部門，
某天他們收到一封客訴信，而客訴內容長的文情並茂，
大意如下:

我在 OO 日購買你們家的產品，
結果收到的卻是這樣包裝！
請給我一個合理的解釋，照片我附上了
密碼是：companyname

而附件本身是壓縮檔，裡面夾帶了惡意程式

而身為小粉家的資安顧問，看到這封信都覺得有趣，
以往對於這些客服的信都寫得很爛，但這次手法明顯進步，

還有一種常見的方式就是因為很多客服都會透過 skype 打電話，
攻擊者會把名字相似的人(e.g. 大家英文名字都是 John) 拉進一個群組，
然後丟一個說薪資調整，要在今天下班前回覆。

至於被鎖定的公司嗎? 根據小粉親友團分享，在你熟悉和你不熟悉的電商都收到過類似的信。

資安探討

為什麼客服是常被釣魚鎖定的目標

我們常常看到電商被攻擊，其實面向很廣，而這邊我們只講客服吧。

會想攻擊電商客服的組織通常是受雇於詐騙集團，
或是直接詐騙集團本身的駭客。

攻擊這些人員的好處：

1. 快速獲取個資，許多客服系統能夠調閱的資料很多的，甚至是沒打碼可以直接調閱
2. 內部系統服務快速了解，客服除了要幫忙客戶解決問題，查物流、上架等等的東西可能都是工作之一
3. 好接觸、人員較多，攻擊成功機率增加

老生常談的定期做教育訓練，但因為這些人員本質上就是要打開信箱檢查客訴信，
所以導致有些兩難，但筆者認為在客戶資料上應該做些許權限控管。

不是客服直接進入系統任意調閱，因為一台客服電腦被攻擊等於整個資料就外洩，
至少要看個資應該配上二次驗證機制，或是手機 notification 驗證，這樣駭客要撈資料沒辦法立刻做，
筆者聽過最快的偷資料紀錄，駭客進來 10 分鐘搞定從系統下載個資。