聊天平台已經成為企業營運的重要工具,也是企業與客戶溝通的重要管道。有了這類平台,員工幾乎不論身在何處都能彼此溝通,此外,也讓公司多了一個可以和產品愛用者接觸的管道。
人們到底有多愛聊天平台?根據 Inc. 的統計,42% 的客戶偏愛透過即時聊天與企業通訊,勝過其他方式。此外,有 92% 的人在用過企業的即時聊天功能之後感到滿意。不僅如此,員工之間也越來越依賴聊天功能,根據 VentureBeat 的資料,Slack熱門聊天平台去年每天都有超過 3 百萬名活躍用戶,充分顯示聊天平台對今日企業員工的重要性。
然而,隨著聊天通訊技術越來越受企業和消費者的青睞,卻也吸引了歹徒的覬覦。
趨勢科技研究指出駭客可能利用聊天平台
「趨勢科技研究人員開始研究駭客可能如何利用熱門聊天平台。」
最近,趨勢科技研究人員開始研究駭客如何利用熱門聊天平台。
研究人員解釋:「聊天平台讓使用者透過 API 將自己的應用程式與該平台整合,但有一件事情我們必須先搞清楚:這樣的功能是否可能遭網路犯罪集團所利用?畢竟我們已經看過太多合法服務和應用程式遭歹徒用於從事不法用途的案例。」
像 Slack 和 Discord 這兩個聊天平台就提供了整合功能來方便使用者不須離開聊天平台就能使用第三方應用程式。透過這種方式,使用者就能一邊保持通訊、一邊檢視行事曆通知或檢視追蹤報告。不過,研究人員也發現,這項實用的功能很可能引來駭客滲透與入侵的風險。
聊天平台變成幕後操縱工具實測
趨勢科技針對當今一些熱門聊天平台如 Discord、Slack 和 Telegram 進行了一番監控,並且利用一些相關知識及概念驗證程式碼來測試這些平台可能出現的漏洞。經過一番努力,研究人員證實駭客可將熱門聊天平台變成幕後操縱 (C&C) 伺服器。如此一來,駭客就能連上企業基礎架構內部一些遭到入侵的系統,進而從事破壞活動。
駭客已經展開行動
趨勢科技研究人員不僅發現這些惡意行為已經成為可能,更發現駭客已經開始攻擊這項弱點。
趨勢科技研究人員指出:「根據我們長期監控這些聊天平台發現,網路犯罪集團已經利用這些聊天平台來從事惡意用途。」
目前已發現網路犯罪活動的平台有:
- Discord:駭客利用此平台來散發具備各種危險功能的惡意程式,包括可從感染裝置開採比特幣 (Bitcoin) 以及可注入後續惡意檔案的惡意程式。
- Telegram:研究人員發現,歹徒已開始利用此平台來散布勒索病毒,如:TeleCrypt。
聊天平台的安全問題
前述的研究發現之所以令人憂心,不光是因為惡意活動的出現,真正的問題是目前這類平台完全無法在不影響其功能運作的方式下提供防護。換句話說,架設資安防護將限制了聊天平台原本設計的目的。
趨勢科技研究人員解釋:「如果封鎖這些聊天平台的API,那就等於自廢武功,而監控 Discord/Slack/Telegram 連線是否有可疑流量則基本上是徒勞無功,因為惡意程式所造成的流量與一般使用者的流量並無顯著差異。」
在功能與風險之間取得平衡
這樣的情況讓企業面臨了兩難抉擇,決策者必須判斷採用這些平台所帶來的資安風險是否值得。根據趨勢科技研究,答案視企業當前的資安情況而定。
趨勢科技研究人員表示:「如果企業的網路和端點防護隨時保持更新,而且企業內員工都能隨時遵守安全的使用習慣的話,那麼採用聊天平台的風險,與其方便性和效率相比,或許值得。」
此外,企業也可以採取以下幾項法:
- 教育使用者務必養成良好使用習慣:使用者必須知道切勿點選可疑的連結或檔案,即使是來自熟人也一樣。此外,將聊天平台只限定用在工作用途,且所有通訊內容與登入憑證皆應保密。
- 制定安全使用原則:為了確保安全的使用習慣,企業應制定一些安全使用原則來當成前述員工教育訓練的教材。
- 考慮乾脆停用:仔細評估聊天平台對公司是否真的重要,其潛在的風險是否值得。規模較小或是有其他通訊管道可用的企業,或許會覺得聊天平台並非日常營運不可或缺的工具,因此大可乾脆不用,無需應付那些可能帶來的安全弱點。
不過,聊天平台固然可能帶來資安風險,但若能搭配安全的使用習慣,那麼風險並非無法克服。若要進一步了解駭客如何利用聊天平台來達成幕後操縱的目的,以及您的企業可能因而受到何種影響,請參閱趨勢科技研究報告:「網路犯罪集團如何利用聊天平台應用程式開發介面 (API) 將該平台當成幕後操縱基礎架構」。
原文出處:Hackers Leverage Chat for Command&Control: How You Can Protect Your Business
【Cloudsec 2017 企業資安高峰論壇-請把握最後報名機會,席次保留倒數中。。 】
今年的主題包含最熱門的物聯網安全,讓您在享受其美好以及便利性之時,也了解不能忽視的漏洞。以下的議題也是身為資安領航者應該要了解的面向 :
• 金融科技犯罪案例大剖析
• 駭客為何總是有辦法一駭再駭?
• AI 打造人工智慧安全,您知道如何辦到嗎?
• 令人聞之色變的勒索病毒已經結合APT的手法全面入侵,企業要如何全身而退?
如此精彩詳實的內容,席次即將額滿,如果您已經報名,9/6請務必出席,如果您還未報名,請即刻行動,把握最後倒數席次