原标题:【2018资安趋势 3】5年钓鱼邮件大分析,凭证钓鱼成企业新威胁
【AWS网络钓鱼案例】从这两封电子邮件来看,左边才是真正AWS登入页面,右边则是百分之百仿造的网络钓鱼邮件,连需要输入双因素认证的位置,在假造页面中都存在。(图片来源/iThome)
美国矽谷金流公司Stripe资安工程师Karla△Burnett日前在黑帽骇客大会上分析,该公司收集过去5年来的各种钓鱼邮件实例,从2011年资安公司RSA的金钥外泄事件,到2016年美国民主党内部机敏资料遭到外泄,一直到2017年的Google文件验证等真实钓鱼邮件样本来分析钓鱼邮件的手法。
Karla△Burnett表示,目前统计的网络钓鱼的方式大致可以分成三大类,其中有欺骗使用者采用行动,例如汇款的行为钓鱼(Action△Phishing)类型;锁定员工电脑未更新的漏洞钓鱼(Exploit△Phishing)类型,以及今年发生窃取线上服务登入凭证的凭证钓鱼(Credential△Phishing)类型。
网络钓鱼分三类,凭证钓鱼危害大
第一类的行为钓鱼,Karla△Burnett指出,最常发生在高阶主管下令,要部属转帐一大笔钱到某一个帐户,如2015年国际汇款公司Xoom财务长要求汇款的诈骗事件,就是源自于网络钓鱼信件。
第二类造成危害的网络钓鱼行为就是漏洞钓鱼,这其实非常常见,Karla△Burnett表示,大部分骇客都是利用零时差漏洞或者是员工电脑因为没有更新,导致骇客有机可趁,才会让这样的漏洞钓鱼成功。
不论是2011年爆发的RSA因为员工电脑没有更新,导致员工点了网络钓鱼信件的连结后,被植入恶意程式,导致骇客可以外泄该公司的金钥外,其他像是在2016年3月出现的仿造Fedex顾客钓鱼信件,邮件附档是恶意的PDF文件,员工只要一打开该恶意PDF文件,就可以植入恶意程式在该员工电脑中。
至于最新型的网络钓鱼形式,Karla△Burnett认为,就是所谓的凭证钓鱼。他指出,许多线上服务都需要有凭证作为确认服务真实性的基础,但是凭证钓鱼邮件就企图收割线上服务的凭证,因此,凭证一旦遭窃,或者是点选伪造的凭证,骇客就可以直接存取所需要的资讯,包括使用者的帐号、密码都可能遭骇客窃取。
像是2016年美国选举时,美国民主党第11届委员会内部机密邮件外泄的原因,就是因为有高阶主管点选到一封钓鱼邮件,导致凭证资料遭到外泄,使得骇客可以取得民主党内部的机敏资料并对外公布。甚至于,今年初,Google提供给使用者登入的OAuth遭到骇客滥用,也有蠕虫利用Google共用文件来扩大感染,但骇客最终的目的其实是希望取得使用者Gmail邮件的帐号和密码。
Karla△Burnett坦言,幸好该公司因为对凭证管理已经有事先做好防护,也使得Google共用文件爆发凭证钓鱼事件时,该公司并没有发现有员工受骇,这也证明,该公司已经通过适当的方式,避免员工遭受网络钓鱼邮件的伤害。
网络钓鱼案例:GitHub网站(图片来源/iThome)
单一登入机制搭配双因素认证,可以降低网络钓鱼风险
到底什么才是最有效的预防网络钓鱼邮件的方式呢?Karla△Burnett认为,虽然多数企业都认为,搭配完善的钓鱼邮件的教育训练,可以降低网络对于邮件带来的损害,事实上,即便员工在教育训练有好的成绩,遇到手法更精密复杂的类似凭证网络钓鱼事件时,就几乎只能碰运气。
他建议,企业可以采取相关配套作法来防制,包括了单一登入机制(SSO)、使用者端的SSL认证,以及使用越来越普遍的通用型双因素认证(Universal△Second△Factor)。
单一登入就是由其他第三方提供的认证登入服务,代替使用者登入某个系统,因为这是组织系统管理员所提供的代登入服务,所有代登入的网站都经过合法验证,不会发生突然转址到恶意网址、登入恶意网站的情况。
再者,Karla△Burnett指出,使用者端通过浏览器提供SSL认证,是最友善且接受度高的认证服务,使用者几乎都可以无痛认证而不觉得麻烦。最后,就是目前普遍使用的通用型双因素认证机制,他表示,这些通用型产品通常是采用USB介面或者是蓝牙方式,连结认证网站上无限多的认证号码,每登入一个网站就要输入一个认证号码以确认身份。
一般而言,Karla△Burnett建议企业在进行渗透测试的同时,就应该纳入防范网络钓鱼信件的测试,同时运用上述三种作法,就能善用科技产品更有效预防凭证钓鱼。
网络钓鱼案例:Slack网站(图片来源/iThome)
iThome△Security
相关:
【2018资安趋势 2】14年零时差漏洞威胁大剖析,平均潜伏至少5年能暗中搞鬼
Pardee△RAND研究院教授Lillian△Ablon调查分析表示,零时差漏洞最多9.53年(存活率25%)才会被揭露,最少低于1.51年(存活率75%),大部分漏洞暗中潜伏期长达5到8年才曝光。图片来源/RAND△ 美国军方智库兰德公司
国家发改委昨天在官网发布《国家发展改革委办公厅关于在企业债券领域进一步防范风险加强监管和服务实体经济有关工作的通知》(下称《通知》),明确表示将积极组织符合条件的企业发行企业债券,专门用于发展住房租赁
表外转表内的趋势在持续,金融支持实体经济的力度亦没有减弱。这是央行昨日公布的最新金融统计数据显示出的趋势。7月通常被视为传统的信贷小月,但是刚刚过去的7月,新增贷款却达到8255亿元,较去年同期增长78%。其中
表外转表内的趋势在持续,金融支持实体经济的力度亦没有减弱。这是央行昨日公布的最新金融统计数据显示出的趋势。7月通常被视为传统的信贷小月,但是刚刚过去的7月,新增贷款却达到8255亿元,较去年同期增长78%。其中
AWS发表安全服务Macie,以机器学习技术帮企业看好资料安全
图片来源: Amazon Amazon旗下的Amazon△Web△Services(AWS)于周一(8/14)发表了基于机器学习的安全服务Amazon△Macie,它能自动辨识与保护机密资料,避免资料外流,将率先支援Amazon△S3,今年将会扩大支援其他AW