OurMine入侵出版商Variety 推銷網站安全服務 來看黑客營銷的5種手段

美國出版商variety的内容管理系統及娛樂新聞網站被自稱ourmine的黑客組織入侵，随後ourmine通過variety的郵件系統向向注冊使用者發送了郵件。據ourmine稱這個舉動隻是為了測試variety的系統安全性，推銷自己的網站安全服務。

由三名黑客組成的團體ourmine因成功入侵了包括sundar pichai等名人推特積攢了一定的名氣，而他們黑客的行為是為了更好的推銷自家的安全資訊服務。

今天，該黑客團體再次攻擊了娛樂雜志-《variety》(名利場)的推特賬号，不過同此前僅僅曝光釋出幾條推文有所不同，在本次入侵之後還進一步接管了名利場的郵件系統，并向名利場訂閱使用者釋出了數十條相同的郵件内容。

所幸的是這些郵件并不包含任何惡意程式或者垃圾檔案，對于這種行為，ourmine表示此舉隻是為了測試variety内部系統的安全性。在variety重新恢複控制之後，立即删除了這些資訊并釋出了下面這則公告：

你可能已經收到了一封或者多封包含#ourmine的郵件。事實上variety并未發送過這些郵件，如有收到請忽略并盡快删除。我們正在對此事進行深入的調查如果問題進一步解決之後将會及時告知你。

該出版商還向讀者釋出了道歉函。道歉函中寫道：

您可能收到了發件人為 variety 、主題為 #ourmine 的一封或多封郵件。variety并沒有發送這些郵件，請忽略并删除它們。我們正努力處理該事件。一旦問題得到解決，我們會通知您。

自稱為黑客組織ourmine的人周末黑了variety的網站，并暫時接管了網站。該組織随後發帖稱，它隻是在測試目标的網絡安全架構。

标題為“被ourmine黑了”的文章出現在variety的網頁上。很快，這個文章就被撤下。文章裡還說：“variety，你好。我是#ourmine。别擔心，我們隻是在對你的安全進行測試。”

然而，這個惡作劇并沒有就此打住。黑客不僅黑了網站的出版庫，還侵入了推送郵件資料庫。據稱，ourmine從這個資料庫給大量的注冊使用者郵箱發送了垃圾郵件。

來自variety的公告說，公司正在對此事件開展了一項内部調查。該公司提出，這次入侵可能是因為一個擁有variety内容管理系統權限的員工洩露了密碼。該出版公司還堅持說黑客并沒有接觸到variety注冊使用者的資訊。

這次事件與其他的ourmine攻擊事件一樣，并不涉及伺服器漏洞或者安全漏洞，而僅僅是該組織有效利用社會工程學擷取密碼的結果。

《綜藝》（英語：variety）是一本美國娛樂界的行業周刊，是娛樂界行内兩大報刊之一（另一份是《好萊塢報道》）。該雜志由sime silverman于1905年在紐約創辦，最初隻報導紐約市中有關歌舞雜耍表演（vaudeville）的資訊，但自電影業逐漸起飛後，silverman則于1933年創辦了該雜志的洛杉矶版，一份名為《每日綜藝》（daily variety）的日報。

ourmine是一個黑客組織，因喜歡黑知名人士的社交賬号臭名昭著。比如，他們曾黑過facebook的ceo mark zuckerberg和谷歌的ceo sundar pichai的twitter賬号。這次，他們黑了主流娛樂新聞網站variety。

2016年6月5日，馬克·紮克伯格的社群網站服務如twitter、instagram和pinterest上賬号相繼被盜用，據信是由名為ourmine的團隊利用linkedin密碼及賬戶洩露事件，雖然linkedin公司随後向使用者發送通知，提醒使用者重新設定密碼，但由于許多使用者在多個網站的賬号，這個影響不小。

遍布整個網際網路的黑客正在慢慢适應諸多變化的攻擊服務銷售市場。許多臭名昭著的ddos團體，如：lizard squad、new world hackers和其它黑客團體都已經将ddos作為一種服務業務提供給使用者，通過出租應激服務增加其盈利能力。但這不僅僅限于ddos,而是包含應用攻擊在内的所有攻擊服務。

以下是黑客用于營銷其服務的5種手段：

黑客絕技表演 ——outmine、lizard squad和new world hackers等大型黑客團體都參與了黑客絕技表演，以營銷他們的服務。當lizard squad利用攻擊工具發起xbox of psn攻擊時，其它攻擊者在注意到這一攻擊行為的同時，也希望可以使用具有相同能力的攻擊工具。

社交媒體 ——黑客将利用社交媒體來宣傳并提供攻擊服務優惠活動。很多時候，參與了黑客絕技表演的黑客團體都會利用社交媒體進行宣傳，在攻擊發生後實作營銷目的。每當一個大型團體聲稱是他們發起了攻擊，就會有成千上萬有好奇心的訪客通路他們的頁面。如果頁面中包含跳轉至其服務的連結，就會産生付費内容訂閱。

論壇 ——攻擊服務可以在hackforums等網站中公開宣傳。提供商通常會釋出一個服務相關的詳細報告書，并提供核對副本，用以建立良好的客戶服務評級。

私售 ——地下黑客一般都喜歡秘密活動。一些黑客既無法通過社交網站聯系，也沒有可以營銷其服務的網站。某些黑客隻能通過pgp或xxmp加密通信進行聯系。一旦與這些提供商發生聯系，使用者可以與其協商零售價并接收示例資料庫。

客戶服務 ——就像其它服務一樣，攻擊市場也需要可以說服客戶做出購買決策的評論。将一大筆錢發給沒有任何評論或回報的攻擊服務提供商是很有問題的。目前，在多數提供商的網站、論壇和市場中，使用者可以看到一個評論版塊，充斥着來自購買了服務的真實客戶的評論。

原文釋出時間：2017年3月24日

本文由：安全加 釋出，版權歸屬于原作者

原文連結：http://toutiao.secjia.com/hacker-team-ourmine-invasion-publisher-variety

本文來自雲栖社群合作夥伴安全加，了解相關資訊可以關注安全加網站