Live Chat已成为无处不在的软件作为服务(SaaS)或基于云服务的销售和支持工具。整个企业围绕提供实时聊天,例如Olark(我的公司使用)或对讲机。作为Saas Business的首席执行官和创始人(Sendwithus.com),我对我们应该支持实时聊天的问题很少;这只是提供给客户的实时聊天的问题。
与许多企业平台一样,我们支持在帐户中添加多个团队成员,并设置客户管理员等用户权限。去年初,我们很幸运,足以抓住一名攻击者试图社会工程师我们的实时聊天运营商,并获得资金1000客户的帐户。我说我们很幸运,因为我们典型的支持态度是客户专注,总是希望为客户提供额外的英里。我可以想象,没有满足某些条件,我们本来可能错过了这一点。
对于未审理的,社会工程是一种欺诈计算机黑客的形式,通常可以通过操纵目标公司的员工来获得信息或系统。这是来自零售大型链目标的2013年信用卡盗窃。
在我们的案例中,聊天会话无罪致力于:
攻击者:嗨,我们有员工在门户网站上需要访问。您是否管理提供对我们员工的访问权限?
我们:啊,你需要在帐户上从管理员访问。
这个初步问题似乎是奇数,但它没有与我们的员工立即触发警钟。但重复的尝试获得信息使我们可疑。
攻击者:嗯......以及任何想法谁或者我将如何知道谁据说这个人是谁?
…
攻击者:任何机会,你知道公司是否被捆绑在一起或与贵公司这样的东西?
…
攻击者:嗯,也许是为了开始,我想了解你公司提供的服务,因为我们的员工要求访问您的门户网站。
以上是从聊天的直接摘录我们的支持人员与攻击者的攻击者。虽然单独的问题使我们怀疑,但在这种互动中存在一些主要的警告标志。企业客户通常具有稍微复杂的内部结构,但我们提出了一个非常努力的努力,了解帐户管理员需要的是谁以及哪些用户需要访问所述帐户。攻击者不是我们熟悉的经理之一,它出现了奇数。
接下来,我们的聊天服务显示客户使用的电子邮件地址,攻击者指定了“noemail@noemail.com”。在与我们的团队交谈时,他们似乎非常奇怪,因为他们是一个现有客户,他们不会使用他们的“@ company.com”电子邮件。另一个提示是我们聊天服务报告的IP地址导致IP块合理地靠近客户的总部。
最后,如果聊天用户登录到SendWithus帐户,则其帐户信息将显示在聊天窗口旁边。在这种情况下,我们注意到攻击者根本没有登录。鉴于此信息,聊天的团队成员决定提供任何信息,并礼貌地告诉攻击者联系其内部管理员。
这一天发生了这一天,我们整个团队都讨论了究竟是什么社会工程,以及在聊天时恰当的事情。我们阐述了以下聊天指南:
1.信任但要验证。每个聊天都应该以温暖的“Hello”开头并检查用户是否登录,如果我们之前与它们交谈,以及它们与之关联的帐户。
2.白名单可接受的使用。通过聊天聊天处理的可接受支持物品的非常小的列表;升级其他要求的电子邮件。这会快速安全地保持聊天时间
3.始终使用官方渠道。确保我们仅提供通过聊天,票务系统(具有专用电子邮件)或专用电话线(优先级支持)提供支持。
4.没有把握?问。如果团队成员不确定客户的“请求”,请询问其余的支持团队。
虽然这种攻击相当明显,但有一个常见的技术,更复杂的攻击者会尝试。例如,网络钓鱼:小心单击客户通过通过电子邮件发送的聊天或文件附件发送的链接。比特币交换Bitstamp去年以这种方式被砍成了 - 500万美元的曲调。恶意附件被发送给团队成员,包括他们的支持头。
除了网络钓鱼,攻击者通常会尝试将私人信息提取为社会工程的一部分。例如,虽然客户经理的联系电话号码似乎无害释放,但攻击者可以将来使用该号码来熟悉另一个实体。这是仅通过官方渠道执行支持至关重要的原因之一。员工通过个人电子邮件,Skype或手机帮助客户大大增加了成功的社会工程攻击的可能性。
Matt Harris是Sendwithus.com的首席执行官和Cofounder。在Twitter上关注他:@mrmch。
