提防MFA疲劳攻击,推送通知勿乱Click
最近,全球最大的网约车服务供应商之一,成为了由社交工程攻击技术引发的入侵事故的受害者。是次入侵事故是由黑客从暗网购买了一名外判合约员工的密码,让黑客访问公司的系统而引起。由于系统帐户受到多因素验证(MFA)保护,因此相信黑客是使用了「MFA疲劳攻击」(MFA Fatigue)并说服员工接受MFA的核准请求,而达成是次的入侵。
无独有偶,在另一宗资料泄露事件中,黑客组织声称窃取了网络设备巨头约2.8GB的资料,同样是运用了「MFA疲劳攻击」的手法。在这次攻击中,攻击者首先控制了一名员工的个人Google帐户,再针对该员工发送大量的MFA通知,直至该员工(意外地)确认了其中一次验证请求,从而使攻击者能够存取公司的VPN和关键内部系统。
由此可见,MFA虽然比密码安全,但却衍生「MFA疲劳攻击」的问题。简单来说,这种攻击是攻击者利用非法取得的用户帐号密码,登入已设定MFA的帐号并输入密码。这会触发用户帐号透过验证App(例如Microsoft Authenticator或Google Authenticator)发送要求核准的通知。攻击者借由触发大量核准通知造成受害者应接不暇而发生错误,而让攻击者成功登入帐号。
为防止类似的社交工程攻击发生,香港电脑保安事故协调中心(HKCERT)建议公众和机构:
- 定期更改帐户密码
- 切勿接受任何可疑的 MFA 推送验证通知
- 切勿向他人提供个人帐户的密码或MFA 验证码
- 发现可疑帐户的登入纪录时,要通知资讯科技支援人员
除此之外,企业亦需要考虑资料存取控制。引入严格的资料存取控制,强制执行「最小特权原则」是降低社交工程威胁风险的关键。如果员工只能存取完成日常职责所需的基本资讯,就能将更少的资料置于风险之中,同时也意味著员工不再是黑客攻击中的显著目标。此外,企业应尽可能遮蔽或者加密个人资讯,实施资料库存取频率限制,并使用异常检测技术来监控用户存取是否存在恶意行为的迹象,减少攻击者可窃取的资料量。
本周重点
事件证明基于密码、凭据和MFA的安全防护无法有效阻止威胁者透过社交工程手法攻击缺乏安全意识和警觉的员工。同样,没有任何防毒软件或工具可以防止员工意外犯错并泄露机密资料。解决方法除了需要强化安全意识培训等「人为因素」、采用类似「无密码身份验证」的解决方案或者是未来的发展趋势。
为协助中小企满足安全意识培训方面的需要,HKIRC推出了免费的网络安全员工培训平台(Cybersec Training Hub),详情请浏览网页:https://cyberhub.hk/
网络安全在很多方面还需要注意,如有任何疑问欢迎加入我们的 Cybersec Infohub 计划,让行业里的网络安全专家为您解决,如果您怀疑自己或公司的电脑被骇或有可疑的行为,亦请尽快联络网络安全专家求助。
