當不法分子控制了企業或公司帳號時,它可能比個人或消費者帳號遭到劫持更危險。這裡有一些方法可以阻止他們。
文/ Linda Rosencrance‧譯/酷魯
雖然兩者之間存在相似之處,但「公司帳號接管」(Corporate Account TakeOver,CATO)攻擊通常比影響個人帳號的入侵行為更具強大負面衝擊性,並可能導致重大的財務損失、聲譽損害和敏感業務資訊外洩。
「在企業環境中,主要關注的是防止攻擊者獲得員工的憑證,」Gartner 網路安全分析師 Akif Khan 表示:「這可能包括幾種不同的攻擊媒介。更傳統的社會工程攻擊媒介和一般攻擊媒介可能包括以某種方式植入在你裝置上的惡意軟體,它會記錄你的擊鍵動作並尋找儲存在你裝置上的憑證。」
根據《Expel 威脅報告》(Expel Quarterly Threat Report Q1 2023)指山,基於身分的攻擊(帳號外洩、公司帳號接管和長期存取金鑰竊取)占 2023 年第一季度發現的所有事件的 57%。
可能導致企業帳號接管攻擊的常見攻擊
網路犯罪分子使用的工具和技術對消費者和企業來說都是相似的,但企業帳號被竊取的影響可能要大得多,AI人工智慧暨數位轉型顧問公司 Launch Consulting 金融和保險董事總經理 Michael Halstead 表示。
根據 Halstead 的說法,惡意攻擊者使用的攻擊媒介包括:
- 網路釣魚:這仍然是一種流行的攻擊方法,但因為透過規避策略而變得更加複雜,例如透過測試來規避常見的防禦工具。惡意攻擊透過人工智慧打造近乎完美的網路釣魚郵件,進而帶來了新的挑戰。與電子郵件不同的是,手機沒有強大的安全過濾機制來封鎖含有垃圾簡訊或網路釣魚簡訊(SMishing)攻擊企圖的簡訊,因此簡訊也成為了一種流行的技術。
- 冒名假託(Pretexting):亦即人類版網路釣魚,攻擊者透過虛假的託詞或身分進行的一種社交工程攻擊手法,例如,冒充權威人士來欺騙員工透露敏感資訊或執行某些操作。
- 變臉詐騙/商務電子郵件詐騙(Business email compromis,BEC):這類攻擊專門針對公司電子郵件帳號。攻擊者破壞或欺騙高層主管或員工的電子郵件帳號,以誘騙組織內部或外部的其他人執行詐騙行為。這可能包括電匯、更改付款細節或洩露敏感資訊。2022 年,美國聯邦調查局(FBI)網際網路犯罪投訴中心(Internet Crimes Complaint Unit,IC3)收到了 21832 起 BEC 詐騙投訴,調整後損失(adjusted losses)超過 27 億美元。
- 社交工程攻擊:利用人類心理和信任來操縱個人(通常是員工)洩露敏感資訊或取得未經授權的存取權限。與網路釣魚一樣,隨著社交工程攻擊使用人工智慧透過電話或視訊冒充合法實體機制後已經變得更加複雜。
- 冒充合法實體機構的電話:攻擊者以公司高層主管、業務合作夥伴或金融機構為目標,欺騙員工透露登入憑證、帳號細節或敏感資訊,然後利用這些資訊獲得對公司帳號的非法存取。
- 深度造假(Deepfake):利用人工智慧創建高階主管或同事的視訊或音訊紀錄,以欺騙員工轉移資金,共用敏感性資料,或讓攻擊者控制公司帳號。隨著人工智慧的不斷進步和成功攻擊的新聞增加,深度造假可能會變得更加普遍。
- 利用內賊:惡意攻擊者利用員工協助公司帳號接管。內賊之所以被利用的動機多半和金錢利益、與某特定事業的密切關係,和/或勒索威脅有關。具有特權存取權限的員工或個人可能會被說服濫用他們的特權以謀取個人利益或達成惡意目的。
網路安全方案供應商 SentinelLabs 資深威脅研究員 Tom Hegel 表示:「除了攻擊對象可能是誰之外,企業帳號接管攻擊可能會針對攻擊者的特定興趣或目標發動攻擊。」
Hegel 舉例指出:「例如,我們經常觀察到與大型犯罪軟體從一般企業員工那裡竊取帳號憑證之場景有關的隨機下手竊賊惡意軟體活動。」他進一步表示,在這些隨機式攻擊(opportunistic attack)中,攻擊者很容易竊取員工存取第三方廠商網站的憑證,比如企業銀行帳號。
「更令人擔憂的是,這些攻擊可能會試圖收集員工存取企業網路或通訊平臺的登入細節,比如電子郵件或簡訊軟體,」Hegel 說。「這些細節現在掌握在攻擊者手中,可以透過各種方式為他們帶來經濟利益。直接的財務竊取、資料竊取,甚至將他們擁有的存取權限出售給利益相關方,都是今天極有可能發生的情況。」
這些攻擊針對的企業組織類型
安全諮詢公司 NCC Group 風險管理和治理技術總監 Sourya Biswas 表示,任何在網上開展業務的組織都可能成為公司帳號接管攻擊的目標,儘管此類攻擊主要針對線上進行金融交易的企業實體。
Halstead 對此表示贊同,並補充說,儘管任何組織都有面臨公司帳號接管攻擊的風險,但惡意攻擊者通常會根據組織規模、資金可用性以及有價值資料和機密的類型來鎖定某些組織。一些持續成為攻擊目標的常見組織包括金融機構、健康照護組織和政府機構。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
資料保護、備份及還原軟體供應商 Veeam Software 資安長 Gil Vega 表示,攻擊者對他的公司員工進行了多次攻擊嘗試。
「通常會發生的情況是,攻擊者通常是海外資金雄厚犯罪組織的一份子,他們會向某人發送看起來讓人不疑有它的簡訊、電子郵件或網路釣魚連結,並希望收件人會點擊,」他說。「一旦點擊該連結,它就會啟動某種惡意軟體,允許攻擊者和受害者之間直接連接。」
然而,Vega 補充說,這些嘗試都沒有成功。「原因是,要防止這種情況發生,你能做的最重要的事情之一就是提高員工的意識,」他認為。「在 Veeam 公司裡,我們花了很多精力來確保我們的員工瞭解這種威脅。我們透過模擬,透過強制性教育訓練要求,透過政策認證來做到這一點。我們每個季度都會讓員工瞭解這些資訊,並透過不同的活動來測試我們抵禦這類攻擊嘗試的能力。」
金融機構經常成為公司帳號接管攻擊的目標
Vega 也持同樣竟見地認為,惡意攻擊者往往以金融機構為攻擊目標,並指出2021年11月攻擊者對 Robinhood 網路券商平台的成功公司帳號接管攻擊作為這方面的實際例子。該公司表示,在那次攻擊中,「未經授權的一方透過電話對一名負責客戶支援服務的員工進行了社交工程,並獲得了一些客戶支援系統的存取權限。」
據該公司稱,攻擊者竊取了約莫 500 萬人的電子郵寄地址清單,以及另外 200 萬人的全名。這名駭客還獲得了 310 名 Robinhood 公司客戶的全名、出生日期和郵遞區號,以及 10 名客戶更詳細的帳號資訊,儘管該公司指出,這名駭客沒有獲得客戶的社會安全號碼、銀行帳號或簽帳卡號碼,也沒有人遭受任何經濟損失。
然而,就在 Robinhood 控制住入侵後不久,攻擊者竟然要求支付勒索費。因此,Robinhood「迅速通知了執法部門,並在一家領先的外部安全公司 Mandiant 的幫助下繼續調查這起事件」。截止到目前為止,調查結果尚不清楚。
Halstead 舉了另一個關於 Twitter 的例子。「(2020年)攻擊者透過針對員工的社交工程攻擊和網路釣魚手法,將進入 Twitter 內部系統的存取權限拿到手,」他表示。「惡意攻擊者接管了一個用於管理帳號的內部 IT 管理員工具。他們操縱了包括大咖名人和高知名度公司(如 Coinbase)在內的知名帳號,並利用這些帳號來宣傳加密貨幣騙局。」駭客因此竊取了價值超過 11.8 萬美元的比特幣。
防禦公司帳號接管攻擊的 6 個最佳實踐
Biswas 指出,雖然目前並沒有可以保證防止公司帳號接管攻擊的安全措施和控制措施,但將幾種安全措施和控制措施結合在一起以建立縱深防禦機制的話,便能夠顯著地降低風險。以下是防止公司帳號接管攻擊的 6 個最佳實踐
1. 縱深防禦
Halstead 說,企業必須實施縱深防禦。保持健全的安全態勢對於防止企業帳號接管攻擊和其他網路攻擊仍然非常重要。
「組織必須打造並實施多層次防禦,包括漏洞管理、網路分段、電子郵件/web 過濾、入侵偵測和監控、第三方廠商風險管理和事件回應。」
2. 針對線上帳號存取安全的多因素身分認證(MFA)等機制
成像與 IoT 解決方案商利盟(Lexmark)資安長 Bryan Willett 表示,為所有企業帳號配備強大的多因素認證機制非常重要。
「我們在一些專門提供最新網路釣魚攻擊服平台(比如 EvilProxy)中發現,它們非常擅長模仿企業的登入畫面,這些畫面看起來就和你公司的登入頁面沒什麼兩樣,而且看起來已構成貴公司多因素身分認證機制的一大挑戰,」Willett 表示。「使用者有可能成為受害者,並分享他們的多因素身分認證。」
然而,Willet 表示,儘管企業需要繼續加強他們的多因素身分認證機制,但他們也需要繼續尋找像是 Fido 快速認證系統等更先進的多因素身分認證方法。但是這些更先進的方法是需要金錢投資,所以組織必須決定是否真得要投資這些方法。
3. 強健的存取管理策略
根據 Halstead 的說法,實施強健的存取管理措施是不可或缺的做法,特別是透過使用權限存取管理工具進行強化。
「定期對第三方廠商的存取行為進行審查至關重要,」他指出。「建立人員加入和離開組織的程序,以遵守最低權限原則(Principle of Least Privilege,PoLP),這一點至關重要。」
4. 情境式存取管理措施
根據 Halstead 的說法,組織還應該實施情境式存取管理(Contextual access management),以便考慮使用者的當前位置、正在使用的裝置、存取時間、網路環境、行為模式和其他情境資訊。
他表示:「透過這樣的做法,經常在公司帳號接管攻擊中採取的未經授權存取行為風險可以大大降低。」
5. 強固的安全監控
在利盟,安全監控是由安全營運團隊執行的。Willett 指出:「安全營運團隊每週 7 天、每天 24 小時都在監控我們工具集發出的每一個警報。」
「這些工具集涵蓋了從端點偵測到身分識別系統的所有內容。例如,在身分識別方面,當有人試圖入侵劫持商業電子郵件時,經常出現的觸發機制之一是某種形式的旅行式警報(travel-type alert),我們看到有人在一個地方登入,突然之間,他們卻出現在世界另一端一個完全不同的地方,這就會引發安全警報。」
6. 員工教育和培訓——人類防火牆
Halstead 說,員工安全教育和安全意識至關重要。這種「人類防火牆」(Human Firewall)仍然是防止公司帳號接管攻擊的一個非常重要的防禦措施。
他表示:「確保定期對員工進行教育和培訓,讓他們瞭解與企業帳號接管攻擊相關的風險,尤其是那些擁有特定存取權限或在身處高度針對性領域(例如支付和金融等領域)的專業人士更是如此。」
Willett 認為,這包括讓員工意識到在電子郵件中尋找關鍵內容,以判定是一封惡意電子郵件,或者在某種程度上懷有惡意。「從查看發送者到查看他們試圖發送給你的 URL 網址都可作為安全判定的依據,」他說。「如果你碰巧點擊了該網址,然後看到了一個登入畫面,請確定登入畫面上準備前往的是合理的網域或網址。你登入的不應該是 Joe ‘s Smoke Shop 香煙專賣店等不合理的網域或網址。」
(本文授權非營利轉載,請註明出處:CIO Taiwan)