网络安全|电邮的密码重置攻击
虽然密码毫无疑问是保护帐户安全的最常用措施之一,但也是被攻击者主力寻求破解的对象。 由于密码是攻击者入侵企业网路环境的其中一个最简单途径,所以面临越来越多攻击威胁。 今天会和大家介绍一下攻击手法。
常见手法有以下几种:
1. 暴力破解攻击 (Brute-Force Attack)
2. 字典攻击 (Dictionary Attack)
3. 密码喷洒攻击 (Password Spraying)
4. 凭证填充 (Credential Stuffing)
5. 网络钓鱼 (Phishing)
6. 击键记录器攻击 (Keylogger Attack)
7. 社会工程攻击 (Social Engineering)
8. 密码重置 (Password Reset)
今天会主要介绍 Phishing 和 Password Reset 的组合,因为这是最常见和对攻击者来说是最简单的方法。
网络钓鱼即使人人皆知,但它依然非常有效。 网路钓鱼攻击是指引诱人们执行操作导致泄露资讯,不一定是电子邮件,可以是短讯、语音讯息和电话通话。
有时你会收到电邮可能含有「紧急通知:您的帐户已被闯入」之类的内容。然后他们会制造一封像真的电邮,如你刚好有使用该服务,那就很容易会被骗。
只要注意以下几点,便能有效避开攻击:
- 注意连结的域名是否与官网域名不附
- 域名的连结用0取代O, 或大阶「I」取代细阶「L」
- 把域名复制到一些测试连结的网站 (例如VirusTotal 或守网者)
- 假如要更改密码,不要透过电邮起动整个过程,先由官方网页起动
值得注意的是,不要只观察电邮的域名,同时要留意电邮内的连结。因为另一种攻击手法是你的服务商被骇,他可以透过修改官方电邮内的连结,并由官方地址发出。
如果发送给用户的 URL 是基于可控输入动态生成的,则有机会造成以下攻击。
攻击者只要知道你的帐号名称或电邮,便可代表你提交密码重置请求。他们拦截生成的 HTTP 请求并修改 Host 标头,改成指向自己的伺服器。
受害者从网站收到一封真正的密码重置电邮,包含一个用于重置密码的普通连接。最重要的是,URL 已被修改,当你到该假网页输入你的真实帐号密码后,其实攻击者已在背后去真实的网站登入你的系统。
最简单的解决方法还是 2FA,但目前如果不是重要网站 (如银行网页),普遍也没有设定 2FA,或该网站并不支持 2FA 配置。但也不能排除,即使一般网站的会员帐号,也可能存有不少你的个人数据。所以,用家应细心留意连结和了解是否有必要提供太多个人数据到没有安全配置的网站上。如果你是网站管理员,你的网站又会存取客户资讯,请赶快升级安全配置吧。
网络安全在很多方面还需要注意,如有任何疑问欢迎加入我们的 Cybersec Infohub 计划,让行业里的网络安全专家为您解决,如果您怀疑自己或公司的电脑被骇或有可疑的行为,亦请尽快联络网络安全专家求助。
