新闻是有分量的

美国黑客受害者成为平凡的诡计的牺牲品

W ASHINGTON(美联社) - 受害者是他们自己最大的敌人。

美国政府称中国对美国公司使用的黑客行为技术结果令人失望,欺骗员工打开电子邮件附件或点击看似无辜的网站链接。

最可怕的部分可能是诡计如何成功。 只需点击两下鼠标,美国知名核和太阳能技术制造商的员工就会将钥匙交给他们的计算机网络。

美国司法部周一公布的一份31项起诉书中称,五名中国军方官员以“丑陋的大猩猩”,“康提佬”和“杰克孙”等黑客别名行事,窃取机密商业信息,敏感商业秘密和内部通信美国将所谓的受害者确定为Alcoa World Alumina,Westinghouse,Allegheny Technologies,US Steel,United Steelworkers Union和SolarWorld。

中国周二否认了这一切。

“外交部发言人洪磊在北京说:”中国政府和中国军方以及相关人员从未参与过,也从未参与所谓的商业机密网络窃取活动。 “美国现在应该做的是取消其起诉书。”

这不太可能。 司法部正在做的事情正在说明中国如何将其拉下来。

美国表示,闯入事件的人数比奥斯汀鲍恩逊更多。 在某些情况下,政府说,黑客使用“鱼叉式网络钓鱼” - 一种众所周知的骗局,诱骗特定公司或员工感染自己的计算机。

据说这些黑客以当时美铝总监的拼写错误名称创建了一个虚假的电子邮件帐户,并愚弄了一名员工,打开了一个名为“agenda.zip”的电子邮件附件,被称为2008年股东大会的议程。 它暴露了公司的网络。 另一方面,一名黑客据称通过电子邮件向公司员工发送了一个链接,其中显示了一份关于行业观察的报告,但该链接安装了恶意软件,为公司网络创建了后门。

软件安全公司Veracode的计算机安全专家兼首席技术官Chris Wysopal说:“我们习惯于通过点击电子邮件链接,查看信息并转发信息来解决问题。” “如果黑客知道你和你的公司,他们就能创造出真实逼真的信息。”

Sonatype的首席技术官Joshua Corman说,使用司法部描述的初步努力并不意味着外国政府和其他人不会使用更复杂和更难以检测的技术,它帮助企业进行软件开发安全。 他说,确定的黑客在必要时会升级他们的攻击,但在周一宣布的联邦起诉书引用的案件中,他们不必升级到很远的地方。

科尔曼指出,美国在研究和知识产权方面的投资要高得多,这使得美国在此类盗窃案中丧失的风险比中国高得多。

在指责中国的黑客行为中,其他安全层也失败了。 更有效的防病毒或安全软件可能会阻止恶意附件或阻止用户访问有风险的Web链接。 后端服务器过滤器可以防止危险的电子邮件到达员工。 企业网络上的入侵检测系统可以在成功闯入后内部更快地引发红旗。

“问题在于技术尚未发展到足以检测恶意代码,”现任公司安全顾问的着名黑客凯文米特尼克说。 欺骗某人让您进入系统要比识别可被利用的隐藏漏洞容易得多。

更糟糕的是:从本质上讲,员工在社交条件下想要打开并回复声称来自老板的电子邮件 - 更不用说这条消息实际上可能是一招。

安全公司Cyber​​Flow Analytics的首席执行官Hossein Eslambolchi说:“如果你开始时误以为每封进来的电子邮件都是真正的电子邮件,那么你就会把自己和你的公司置于一个重大风险之中。”

___

在Twitter上关注:Gillum在http://twitter.com/jackgillum和Tucker在http://twitter.com/etuckerap