6月初針對使用微軟電子郵件服務的攻擊,駭客在使用者與所造訪的網站之間建立一個代理伺服器,藉以竊取使用者所輸入的憑證,及已通過身分認證的期間Cookie,因而得以挾持使用者的帳號。根據微軟的分析,駭客最快在得手使用者帳號的5分鐘之後,便開始展開BEC詐騙行動。
而7月中旬針對的Gmail企業用戶的攻擊,駭客則是利用Google Ads與Snapchat的網址放任重新導向弱點(Open Redirect Vulnerability),以及惡意網站上的JavaScript,同時加以檢驗裝置的指紋,最終將受害者引導到釣魚網站進行AiTM(Adversary-in-The-Middle,AiTM)攻擊。除了上述針對微軟跟Gmail企業用戶外,雲端服務業者Twilio、Cloudflare的員工也同樣在這段期間內,有遭遇類似的攻擊事件。
不容小覷的AiTM攻擊,在短短幾個月內,針對不同的企業用戶,接連發生了數起事件,攻擊的規模都相當龐大,並且在得手後極短時間內就進一步的展開後續行動。而AiTM攻擊成功的關鍵,不是MFA機制的安全漏洞,也與使用者所採用的登入機制無關,關鍵在於那封惡意的電子釣魚郵件是否有被點擊,或是使用者是否被引導到釣魚網站進行動作,僅此而已。這些釣魚網站除了網址之外,幾乎與使用者原本的目標網站一模一樣,讓使用者第一時間難以察覺,使用者點擊或輸入資料後,駭客得以挾持使用者的登入期間,並假借使用者的身分執行後續的種種行為,引發軒然大波。
數月來接連幾次的大規模網釣行動,一而再,再而三地彰顯著資安防護最大的弱項─使用者。任憑所有資安人員為企業佈署了各種防禦措施,也抵擋不了使用者稍有不慎,就點下去的滑鼠左鍵。因此除了抵禦來自外面的各種攻擊,更必須時刻繃緊神經,針對這塊軟肋投注心力,透過提升使用者的資安意識,以降低更多的風險跟威脅。
現今網路資訊發達,人們追求快速便利,因此多數人會在未查清的情況下點擊來路不明的連結,導致個人資料全被竊取,點擊網址與竊取資料只需要短短幾分鐘,卻想不到之後所帶來的損失有多龐大,大眾可以放慢步調去查詢可疑的網址,建議平時可以多了解資安相關的議題,提升資安知識保護自己。
詳文請見資安人 原文新聞稿