近幾年,各家科技公司不斷在倡導用戶開啟多因素驗證提高個人帳號的安全性,不過多因素帳號只是提高了侵入難度,並不代表它是個可以讓你百毒不侵的鐵布衫。近日,微軟披露了全球性的大規模網路釣魚攻擊, 即便啟用了多因素身份認證保護措施,該釣魚活動依然可以劫持用戶帳戶。
微軟披露大規模釣魚活動,即使啟用多因素驗證仍可能受害
多因素驗證又稱為雙重身分驗證、MFA 或是 2FA,是目前主流的帳戶安全標準,除了傳統的密碼外,還要求用戶以自己擁有或控制的東西,例如實體安全密鑰、指紋、臉部辨識或視網膜掃描等形式來輔助驗證身分。MFA 技術的廣泛使用為帳戶安全多添了一個門檻,提高了駭客侵入用戶帳號的難度,不過現在攻擊者已經找到方法進行反擊。
微軟觀察到一個活動,發現從去年 9 月以來這項活動就已經針對超過 10,000 個組織發起攻擊,透過訪問受害者電子郵件帳號誘騙員工向駭客匯款。這項活動在帳戶用戶與嘗試登入的工作伺服器間插入一個由攻擊者控制的代理網站,當使用者向代理網站輸入密碼時,代理網站會先將它發送到真實伺服器-然後將伺服器的回應轉發回給用戶。待身份驗證完成後,攻擊者會竊取合法網站對話 Cookie,因此用戶無須在訪問每一個新網頁時重新驗證身份。而這一切活動的從一封帶有指向代理伺服器 HTML 附件的網路釣魚郵件開始。
▲帶有 HTML 檔附件的網路釣魚電子郵件範例
在微軟的一篇官方部落格文章中,Microsoft 365 Defender 研究團隊的成員和微軟威脅情報中心提到,根據觀察在首次登入釣魚網站的被盜帳戶後,攻擊者使用被盜的對話 Cookie 對 Outlook online 進行身份驗證。在多種情況下,Cookie 都具備有 MFA 聲明,這代表即使組織採行 MFA 策略,攻擊者也會利用對話 Cookie 代替受感染的帳戶獲取訪問許可權限。
▲ AiTM網路釣魚網站攔截身份驗證過程。
在 Cookie 被盜後的幾天內,威脅行為者訪問員工的電子郵件帳戶並尋找用於商業電子郵件洩露詐騙的訊息,這會欺騙目標將大筆資金匯入他們認為屬於同事或是業務合作夥伴的帳戶。 攻擊者冒用這些電子郵件和被駭員工的身份來說服對方付款。為了防止被駭員工發現,威脅者建立了收件匣規則,自動將特定郵件轉移到封存資料夾中並將其標註為已讀,且在接下來數日裡,攻擊者會定期登入以檢查他們所建立的郵件規則是否正常運作。
▲ AiTM 網路釣魚活動和後續 BEC 概述。
該部落格文章裡面還表示,由於大量的電子郵件和工作量通常讓用戶很難確認資訊何時為真,所以員工很容易陷入此種騙局。整個騙局中為數不多的可疑視覺元素之一就是代理網站登入頁面中所使用的功能變數名稱。基本上啟用 MFA 就表示使用者或組織在網路安全方面有較高的認知, 儘管如此,鑒於大多數組織特定登入頁面的不透明性,即 是粗略的功能變數名稱也可能會讓人不察中招。為了抵禦此類攻擊,微軟建議使用具備基於證書的身份驗證和 FIDO v2.0 支援的網路釣魚(phish-resistant) MFA 來實現更高的防護能力。