中間人攻擊和商業郵件詐騙 微軟揭露銀行龍頭被攻擊
編譯/陳佩君
微軟發現中間人攻擊和商業郵件詐騙攻擊金融龍頭,中間人攻擊(Adversary-in-the-Middle,AitM)是駭客在目標和受害者訪問的網站中部屬代理伺服器,其網站會被駭客模仿,進而竊取中間對話的Cookie等訊息,顯示該攻擊的複雜性,這能冒充受害者進行未授權的操作。商業郵件詐騙(Business Email Compromise,BEC)攻擊是針對企業或組織財務流程,駭客通過入侵電子郵件系統或冒充高階職位人員,欺騙員工執行財務交易,轉移資金或揭露敏感資料,其攻擊常利用社交工程手段,例如欺騙電子郵件、偽造文件或偽造身份來獲取受害者的信任。AitM和BEC攻擊駭客常結合使用,利用AitM獲取用戶憑證和敏感資料,且利用這些資料進行BEC攻擊,以獲取財務利益。
在一家科技公司龍頭報告中顯示,「攻擊起源由一家受感染的信任供應商,進而發展成一系列AitM攻擊和隨之而來跨多組織的BEC活動。」微軟並表示,「駭客模仿目標應用程序登錄頁面網站,像傳統釣魚攻擊一樣,該網站托管在雲端服務上。該登錄頁面包含從駭客控制的伺服器加載資源,使用受害者憑證啟動與目標應用程序的身份驗證,並提供身份驗證會話。」
該攻擊始於一封釣魚郵件,其內容網址連結被點擊時,受害者將被重新導向到偽造微軟登錄頁面,使受害者輸入憑證和TOTP。駭客使用收集的密碼和會話Cookie冒充用戶,濫用訪問權限來獲取敏感郵件並發起BEC攻擊。此外,駭客並在目標帳戶添加新SMS雙因子身份驗證,減少引起注意下使用竊取的憑證進行登錄。微軟分析此為駭客發起大規模垃圾郵件攻擊,發送超過16,000封郵件,並且觀察到他們採取一些措施減少被檢驗的風險,來建立持久性的攻擊。微軟補充,「這次攻擊展示AitM和BEC威脅的複雜性,濫用供應商、其他合作組織之間的信任關係,以實現金融欺詐。現在BEC攻擊除了擁有用戶帳號和密碼外,還有本地化IP地址空間,以支持惡意活動並可隱藏移動、規避『Impossible Travel』的安全功能,替駭客打開進一步攻擊大門。」
防止類似攻擊事件我們必須提高資訊安全的意識、強化多因子驗證(Multi-factor authentication, MFA)、加強電子郵件安全、定期更新和強化網路安全措施、建立供應商監控機制、實施安全培訓和政策等,這些措施結合可大大降低AitM網絡釣魚和BEC攻擊的風險,並保護組織的資料和財務安全。
資料來源:The Hacker News
瀏覽 798 次