舉一個例來說,他們的調查找到兩名初階員工,是在羅德島大學課程中的契約工,他們透過社交工程(social engineering)的種種話術讓他們吐露一切。所謂的社交工程學是指各種說服人,使其吐露敏感資訊的方式,有些是透過精心設計的電子郵件,有些是講得合情合理、頭頭是道的電話。有時,犯罪分子會冒充一個倒楣的技術人員,試圖為他所鎖定的行騙對象解決一些問題。這之所以稱為社交工程,是因為這項技術利用的是人天生想要信任他人的傾向;基本上是利用你的禮貌和幫助他人的意願來對付你本人。
他們的偵查還發現另一個進入網域的管道,是透過現在銀行贊助的半程馬拉松賽事的年度活動網站。這個網站是由第三方(一家外面的公關機構)設置的,他們根據銀行內獨立的社區服務部門的要求來設計網頁。這類計畫網站很容易出現縫隙。由於在設置這類比賽網站時不會考量資安問題,而且為了方便參與者註冊,還會允許他們連接到銀行的網絡,因此任何進入這個沒什麼防禦力的賽事網站的人,都可能由此進入銀行的龐大網絡。卡洛琳和她的團隊以及她之前的許多資安行政主管,多年來一直在提倡網段切割,這可以在銀行各部門的網域間建立開合式的吊橋,但是卻因為沒有足夠的資金而作罷。
因此,對頭腦精明的犯罪分子來說,將轉化成武器的一堆惡意軟體傳送給毫無戒心的員工,或是經由不受保護的網站進行滲入,都不算是什麼困難的挑戰。在狙殺鏈的「弱點攻擊和安裝」階段,罪犯就是透過這類管道來執行惡意程式組合包,並且安裝能夠讓他們讀取所需資訊的程式,而就現在銀行的例子來說,就是客戶的姓名、社會安全號碼以及其他銀行資訊,特別是那些容易上鉤的客戶。
如今,透過這種管道,整間銀行都被安裝了惡意程式,因此犯罪分子可以指揮和控制各種惡意軟體的安裝,將所有敏感資訊轉發到他們的海外伺服器。
***
現在銀行正在試著決定要採取怎樣的行動方案。若是讓犯罪分子知道銀行已經發現了,可能導致這批人貿然採取破壞行動,有可能破壞銀行的伺服器,毀掉他們的蹤跡。攻擊者只有在知道自己事跡敗露時,才會這樣做。因此,資安監控中心團隊必須要快速而安靜地作業。在經過三天對狙殺鏈的解析後,資安團隊選擇在進一步散播開來之前銷毀它。
為了盡可能低調討論目前資料外洩的意外,資安調查人員給這事件起了個名字:威尼斯。完全沒有任何暗示,這個名字僅是方便大家輕鬆討論這起資料外洩事件,這樣做包括犯罪分子在內的任何人都不會在他們的對話中聽到「外洩」或「入侵」之類的用語。如此一來,調查人員就可以避免那些已經埋伏在網路中的犯罪分子察覺到任何風聲。
