提防MFA疲勞攻擊,推送通知勿亂Click
最近,全球最大的網約車服務供應商之一,成為了由社交工程攻擊技術引發的入侵事故的受害者。是次入侵事故是由黑客從暗網購買了一名外判合約員工的密碼,讓黑客訪問公司的系統而引起。由於系統帳戶受到多因素驗證(MFA)保護,因此相信黑客是使用了「MFA疲勞攻擊」(MFA Fatigue)並說服員工接受MFA的核准請求,而達成是次的入侵。
無獨有偶,在另一宗資料洩露事件中,黑客組織聲稱竊取了網絡設備巨頭約2.8GB的資料,同樣是運用了「MFA疲勞攻擊」的手法。在這次攻擊中,攻擊者首先控制了一名員工的個人Google帳戶,再針對該員工發送大量的MFA通知,直至該員工(意外地)確認了其中一次驗證請求,從而使攻擊者能夠存取公司的VPN和關鍵內部系統。
由此可見,MFA雖然比密碼安全,但卻衍生「MFA疲勞攻擊」的問題。簡單來說,這種攻擊是攻擊者利用非法取得的用戶帳號密碼,登入已設定MFA的帳號並輸入密碼。這會觸發用戶帳號透過驗證App(例如Microsoft Authenticator或Google Authenticator)發送要求核准的通知。攻擊者藉由觸發大量核准通知造成受害者應接不暇而發生錯誤,而讓攻擊者成功登入帳號。
為防止類似的社交工程攻擊發生,香港電腦保安事故協調中心(HKCERT)建議公眾和機構:
- 定期更改帳戶密碼
- 切勿接受任何可疑的 MFA 推送驗證通知
- 切勿向他人提供個人帳戶的密碼或MFA 驗證碼
- 發現可疑帳戶的登入紀錄時,要通知資訊科技支援人員
除此之外,企業亦需要考慮資料存取控制。引入嚴格的資料存取控制,強制執行「最小特權原則」是降低社交工程威脅風險的關鍵。如果員工只能存取完成日常職責所需的基本資訊,就能將更少的資料置於風險之中,同時也意味著員工不再是黑客攻擊中的顯著目標。此外,企業應盡可能遮蔽或者加密個人資訊,實施資料庫存取頻率限制,並使用異常檢測技術來監控用戶存取是否存在惡意行為的跡象,減少攻擊者可竊取的資料量。
本週重點
事件證明基於密碼、憑據和MFA的安全防護無法有效阻止威脅者透過社交工程手法攻擊缺乏安全意識和警覺的員工。同樣,沒有任何防毒軟件或工具可以防止員工意外犯錯並洩露機密資料。解決方法除了需要強化安全意識培訓等「人為因素」、採用類似「無密碼身份驗證」的解決方案或者是未來的發展趨勢。
為協助中小企滿足安全意識培訓方面的需要,HKIRC推出了免費的網絡安全員工培訓平台(Cybersec Training Hub),詳情請瀏覽網頁:https://cyberhub.hk/
網絡安全在很多方面還需要注意,如有任何疑問歡迎加入我們的 Cybersec Infohub 計劃,讓行業裏的網絡安全專家為您解決,如果您懷疑自己或公司的電腦被駭或有可疑的行為,亦請盡快聯絡網絡安全專家求助。
