網絡安全|電郵的密碼重置攻擊
雖然密碼毫無疑問是保護帳戶安全的最常用措施之一,但也是被攻擊者主力尋求破解的對象。 由於密碼是攻擊者入侵企業網路環境的其中一個最簡單途徑,所以面臨越來越多攻擊威脅。 今天會和大家介紹一下攻擊手法。
常見手法有以下幾種:
1. 暴力破解攻擊 (Brute-Force Attack)
2. 字典攻擊 (Dictionary Attack)
3. 密碼噴灑攻擊 (Password Spraying)
4. 憑證填充 (Credential Stuffing)
5. 網絡釣魚 (Phishing)
6. 擊鍵記錄器攻擊 (Keylogger Attack)
7. 社會工程攻擊 (Social Engineering)
8. 密碼重置 (Password Reset)
今天會主要介紹 Phishing 和 Password Reset 的組合,因為這是最常見和對攻擊者來說是最簡單的方法。
網絡釣魚即使人人皆知,但它依然非常有效。 網路釣魚攻擊是指引誘人們執行操作導致洩露資訊,不一定是電子郵件,可以是短訊、語音訊息和電話通話。
有時你會收到電郵可能含有「緊急通知:您的帳戶已被闖入」之類的內容。然後他們會製造一封像真的電郵,如你剛好有使用該服務,那就很容易會被騙。
只要注意以下幾點,便能有效避開攻擊:
- 注意連結的域名是否與官網域名不附
- 域名的連結用0取代O, 或大階「I」取代細階「L」
- 把域名複制到一些測試連結的網站 (例如VirusTotal 或守網者)
- 假如要更改密碼,不要透過電郵起動整個過程,先由官方網頁起動
值得注意的是,不要只觀察電郵的域名,同時要留意電郵內的連結。因為另一種攻擊手法是你的服務商被駭,他可以透過修改官方電郵內的連結,並由官方地址發出。
如果發送給用戶的 URL 是基於可控輸入動態生成的,則有機會造成以下攻擊。
攻擊者只要知道你的帳號名稱或電郵,便可代表你提交密碼重置請求。他們攔截生成的 HTTP 請求並修改 Host 標頭,改成指向自己的伺服器。
受害者從網站收到一封真正的密碼重置電郵,包含一個用於重置密碼的普通連接。最重要的是,URL 已被修改,當你到該假網頁輸入你的真實帳號密碼後,其實攻擊者已在背後去真實的網站登入你的系統。
最簡單的解決方法還是 2FA,但目前如果不是重要網站 (如銀行網頁),普遍也沒有設定 2FA,或該網站並不支持 2FA 配置。但也不能排除,即使一般網站的會員帳號,也可能存有不少你的個人數據。所以,用家應細心留意連結和了解是否有必要提供太多個人數據到沒有安全配置的網站上。如果你是網站管理員,你的網站又會存取客戶資訊,請趕快升級安全配置吧。
網絡安全在很多方面還需要注意,如有任何疑問歡迎加入我們的 Cybersec Infohub 計劃,讓行業裏的網絡安全專家為您解決,如果您懷疑自己或公司的電腦被駭或有可疑的行為,亦請盡快聯絡網絡安全專家求助。
