万豪应急响应能力遭诟病，受害者面临钓鱼式攻击风险

上周五，万豪发送了数百万封电子邮件，告知用户该公司发生了大规模数据泄露事件——万豪旗下喜达屋酒店的预订数据库中约5亿客人的个人资料被盗。

问题在于，这封电子邮件发件人的域名看起来根本不像是万豪酒店的。

万豪以“email-marriott.com”的域名形式发出了这封电子邮件，这个域名登记在一家代表万豪酒店的第三方公司CSC名下。但是，没有其他证据证明这封电子邮件是完全合法的——域名没有加载或是具有可识别身份的HTTPS证书。实际上，除了万豪数据泄露通知网站上确认该域名是合法的公告之外，没有任何简单的途径可以检查该域名是不是真的。

但更糟糕的是，万豪酒店发出的电子邮件很容易被钓鱼式攻击盯上。

通常情况下，在数据泄露事件发生之后，黑客会充分利用接踵而至的新闻报道，用虚假信息和网站内容欺骗用户，让他们交出自己的私人信息。这种情况比人们想象的更常见。有些人在数据泄露事件发生后以为自己正面临风险，而这些人更容易受到钓鱼式攻击。

企业应该将自家网站上的一切信息和经过验证的社交媒体页面进行托管，以防止不法分子出于自身利益而劫持受害者。不过，一旦你开始使用其独特的域名来设置自己的专用外部页面，你还不得不留心域名抢注者——那些注册拼写几乎相同的类似域名的人。

以“email-marriot.com”为例，对于未经专业训练的人，它看起来像是合法域名——但很多人不会注意到拼写错误。实际上，这个域名属于Rendition Infosec创始人杰克·威廉姆斯（Jake Williams），他就警告用户不要信任该域名。

“我之所以注册了这些域名，是为了确保诈骗者无法注册它们，”威廉姆斯告诉TechCrunch网站，“在Equifax大规模数据泄露事件发生之后，很显然这将成为问题，因此注册域名是一个负责任的举动，旨在让它们不会受犯罪分子的控制。”

Equifax是去年发生的规模最大的数据泄露事件，这起事件之所以被媒体广泛报道，不仅是因引人注目的黑客攻击方式，还有其糟糕透顶的反应。Equifax也为受害者创建了一个专门的网站——“equifaxsecurity2017.com”——但即便是该公司负责运营Twitter帐号的工作人员，也对此感到困惑，并且无意中将 “securityequifax2017.com”这个网站发给受害者——这其实是一个由开发人员尼克·斯维廷（Nick Sweeting）创建的虚假网站，旨在暴露该公司脆弱的应急响应能力。

考虑到Equifax数据泄露事件就发生在去年，看来万豪并没有从这起事件中吸取任何教训。许多人都对万豪数据泄露以后拙劣的反应能力敲响了警钟。创建了数据泄露通知网站Have I Been Pwned的安全专家特洛伊·亨特（Troy Hunt），曾在Twitter上发长文对万豪酒店在域名使用上的拙劣表现做过详细梳理。实际上，这个域名的历史最早可追溯到今年年初，当时万豪使用该域名要求用户更新密码。

威廉姆斯不是唯一一个采取措施，防止万豪酒店客人受到网络犯罪分子欺诈的人。数据安全巨头FireEye工作人员尼克·卡尔（Nick Carr）在万豪发生数据泄露事件的当天，就注册了一个名称相似的域名“email-mariott.com”。

“请注意你点击的地方，”他在该网站上 写道 ，“希望这不是一个让受害者感到混淆的网站。”如果万豪只是用自己的域名发出了电子邮件，那么就不会出现问题。

万豪发言人并未对评论的请求做出回应。

声明：本文来自TechCrunch中文版，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。