我的服务器被入侵的虚假提示可能是社会工程攻击吗?

信息安全 服务器 社会工程学
2021-09-05 23:13:58

不久前,我收到了来自未知方的以下电子邮件(使用@alum.cs.[redacted].edu电子邮件地址):

我看到来自您的 Linode 的攻击流量。只是一个友好的提示,它可能已经被 p0wned 了。一个快速的谷歌表明没有其他人喜欢来自你的 Linode 的流量。
<https://www.google.com/search?q=[my Linode's IP]>

但是我找不到任何证据来支持这种说法。我检查了 Linode 提供的资源利用率图表,以及我的防火墙日志、系统的进程列表、活动连接、最近修改的文件、用户帐户等,绝对没有发现异常。谷歌搜索的结果似乎也没有支持其他人也不喜欢这种流量的说法。我在前几个结果中没有看到任何危险信号。所以要么服务器很好,要么我正在与一个知道如何很好地掩盖他们的踪迹的对手打交道,以至于我无法想象他们为什么会对我的 Linode 感兴趣。(上面没有敏感数据。)

这让我想知道该消息是否可能是一种网络钓鱼形式。在这种特殊情况下,我对此表示怀疑,但这样的事情可能是一种合法的社会工程策略吗?通过回复此消息,我是否可能会透露一些我无法想到的东西?

如果将来发生这种情况,我的目标是做出回应,使我能够收集追踪攻击所需的信息,以防它是真实的,同时不透露任何过于妥协的东西,以防它不是真实的.

2个回答

消息本身不是网络钓鱼,但它可能是社会工程攻击的第一阶段。

该消息(您引用的)没有要求您做任何具体的事情,所以它是良性的。但是,如果您回复询问更多详细信息,他们可能会要求您做一些特定的事情(运行程序、登录他们的服务等),这将是一种攻击。

否则,这个人可能会感到困惑。我认为回复并查看下一步是什么没有什么害处。

您从该链接获得的搜索结果可能没有任何意义。有 100 多个站点可让您获取有关 IP 地址的信息。这些网站本质上将主要由动态生成的页面组成,许多网站并没有通过 robots.txt 阻止这些页面。这意味着它们可以出现在搜索引擎中。

结果是,您搜索的任何 IP 地址都可能产生大量无关紧要的结果。结果的数量将因 IP 地址而异。结果的数量可能会告诉您公众对该特定 IP 地址的兴趣程度,这似乎是合理的。但不能假定高数字表示声誉好或声誉差。

所有这些生成的页面都很难找出搜索结果中是否有一些真正有趣的页面。如果所有搜索结果都是动态生成的页面,这些页面将出现在您搜索的 IP 上,那么它们就没有兴趣了。但是,如果您发现有人在security.stackexchange.comor的问题中提及您的特定 IP 地址serverfault.com,那么这绝对很有趣。

如果您引用的是整封电子邮件,那么这清楚地表明发件人要么不称职,要么存在恶意。一封合法的电子邮件应该包含有关观察到的流量的一些实际详细信息。

不称职的发件人在搜索 IP 地址时可能会误解很多结果,因为这表明声誉不佳。恶意发件人实际上可能拥有您看到的某些搜索结果。从理论上讲,这些页面上可能存在恶意软件,尽管将访问者吸引到带有恶意软件的页面似乎是一种非常奇怪的方式。

单击搜索结果中的任何链接或回复电子邮件将为该发件人提供有关您的更多信息。例如,他们可以了解您正在使用的其他机器的 IP 地址。它当然也会告诉他们有人已经阅读了电子邮件。

其它你可能感兴趣的问题
上一篇有哪些方法可以分析受感染机器中的恶意软件,而不仅仅是清理它? 下一篇用于客户端散列的 PBKDF2 强盐