2022年6月,駭客鎖定使用微軟電子郵件服務的企業進行了一個大規模的網釣行動;7月初也有類似的攻擊,鎖定的是Office 365用戶;7月中旬開始,則是針對Gmail企業用戶。
6月初針對使用微軟電子郵件服務的攻擊,駭客在使用者與所造訪的網站之間建立一個代理伺服器,藉以竊取使用者所輸入的憑證,及已通過身分認證的期間Cookie,因而得以挾持使用者的帳號。根據微軟的分析,駭客最快在得手使用者帳號的5分鐘之後,便開始展開BEC詐騙行動。
而7月中旬針對的Gmail企業用戶的攻擊,駭客則是利用Google Ads與Snapchat的網址放任重新導向弱點(Open Redirect Vulnerability),以及惡意網站上的JavaScript,同時加以檢驗裝置的指紋,最終將受害者引導到釣魚網站進行AiTM(Adversary-in-The-Middle,AiTM)攻擊。除了上述針對微軟跟Gmail企業用戶外,雲端服務業者Twilio、Cloudflare的員工也同樣在這段期間內,有遭遇類似的攻擊事件。
不容小覷的AiTM攻擊,在短短幾個月內,針對不同的企業用戶,接連發生了數起事件,攻擊的規模都相當龐大,並且在得手後極短時間內就進一步的展開後續行動。而AiTM攻擊成功的關鍵,不是MFA機制的安全漏洞,也與使用者所採用的登入機制無關,關鍵在於那封惡意的電子釣魚郵件是否有被點擊,或是使用者是否被引導到釣魚網站進行動作,僅此而已。這些釣魚網站除了網址之外,幾乎與使用者原本的目標網站一模一樣,讓使用者第一時間難以察覺,使用者點擊或輸入資料後,駭客得以挾持使用者的登入期間,並假借使用者的身分執行後續的種種行為,引發軒然大波。
數月來接連幾次的大規模網釣行動,一而再,再而三地彰顯著資安防護最大的弱項─使用者。任憑所有資安人員為企業佈署了各種防禦措施,也抵擋不了使用者稍有不慎,就點下去的滑鼠左鍵。因此除了抵禦來自外面的各種攻擊,更必須時刻繃緊神經,針對這塊軟肋投注心力,透過提升使用者的資安意識,以降低更多的風險跟威脅。
本文轉載自 NEITHNET 資安實驗室。