Skip to main content

“無法區分詐騙信件”網路釣魚得逞關鍵-從 eBay外洩百萬個資談社交工程

 

國家等級的駭客,如伊朗已經對美國軍方官員進行了長達一年的活動。網路釣魚(Phishing)會成功,通常就是因為目標無法從正常的郵件中區分出詐騙的信件。

社交工程(social engineering )手法會收集敏感資料 – 地址、生日等,讓他們可以用來精心製作攻擊。比方說,eBay外洩事件, 數以百萬的使用者個人資料被外洩 – 不單單只是電子郵件地址和使用者名稱。那些擁有eBay資料的人現在手上握著出生日期、地址甚至是電話號碼,利用這些資料可以讓他們製作非常具有說服力的釣魚網站。從你的所在地區,加上根據你的年齡會吸引你的事物等等作法,網路犯罪分子可以大大地增加你會回應網路釣魚郵件的機率。

隱私 DLP pivacy

如果Target是2013年最知名的入侵外洩受害者 – 出現網路安全事件而讓數以百萬購物者資料被侵害 – 那2014年也出現了一名領先者,eBay在年初遭受到網路攻擊,攻擊者取走某些服務內1.28億註冊用戶的敏感資料。被入侵的資料庫可能包含這些人的電子郵件地址和住家地址、加密過密碼、出生日期和電話號碼。

根據事件的時間點,有可能是因為OpenSSL加密程式庫的Heartbleed漏洞 – 公開但尚未被發現時 – 被用來躲過eBay的防禦。無論如何,eBay公司PayPal的資產,包括支付卡和銀行帳戶的大量資料躲過這一劫,因為它們被放在獨立的網路。

 

社交工程在eBay入侵外洩事件中扮演重要角色 

如果不知道是否有任何密碼漏洞,攻擊者會更加需要利用社交工程(social engineering ,這已經成為網路犯罪戰略的一部分:

  • 社交工程,也就是用欺騙的方式,現在網路犯罪分子著重於金錢更甚於出名,所以大量的加以使用。它可能會用各種的形式出現。趨勢科技TrendLabs的報告 – 「社交工程如何運作」強調了常用的招數,例如假的「必點」社群媒體文章,要求立即採取行動的可疑電子郵件,和賽季或節日相關的太過優惠促銷等。
  • 與此同時,員工並沒有接受足夠的安全意識培訓。一份來自Enterprise Management Associates在2014年的研究發現,有超過一半的工作者沒有接受任何的安全意識培訓(SAT)。該報告調查了各種規模企業的600人。沒有安全意識培訓,人們可能容易在不安全的地方輸入認證資料或點入惡意連結
  • 並不是只有一般網路犯罪份子會利用社交工程(social engineering 。國家等級的駭客,如伊朗已經對美國軍方官員進行了長達一年的活動。 

在eBay案例中,社交工程(social engineering 做了一般會用複雜網路攻擊和進階惡意軟體來進行的工作。eBay在一份關於外洩事件的報告裡提到,「少數員工的登錄資料外洩。」有多達100個帳戶可能被劫持,eBay相信其安全團隊大約90天就發現異常的網路活動,遠比2014年Mandiant報告中的224天平均值要低。

攻擊者如何獲得eBay員工的認證資料?BH顧問公司執行長Brian Honan對Help Net Security說道,認為他們是用魚叉式網路釣魚來騙過eBay員工。如果這是真的,這種戰術可以成功似乎表示eBay的安全措施缺乏足夠的存取控制和雙因子認證機制,任何一個都可以阻止網路犯罪份子只用一個使用者名稱和密碼就闖過大門。

eBay外洩事件的長期影響:更多社交工程 

社交工程(social engineering 會自我延續。如果攻擊成功,不僅會讓受害者出糗,讓客戶陷入風險,同時也提供了下一次攻擊的養分。網路釣魚(Phishing)會成功,通常就是因為目標無法從正常的郵件中區分出詐騙的信件。

的確有大量的日常電子郵件和社交媒體文章是使用者可以立刻發現有問題的。拼寫錯誤、超長網址和致富計劃都是常見而容易發現的警訊。網路犯罪會使用這些作法是因為還不夠瞭解特定目標,所以將網做的越大越好,希望可以網到一些東西。

社交工程(social engineering 會收集敏感資料 – 地址、生日等,讓他們可以用來精心製作攻擊。

「你看,比方說,eBay外洩事件,」Tripwire技術長Dwayne Melancon告訴PC World。「數以百萬的使用者個人資料被外洩 – 不單單只是電子郵件地址和使用者名稱。那些擁有eBay資料的人現在手上握著出生日期、地址甚至是電話號碼,利用這些資料可以讓他們製作非常具有說服力的釣魚網站。從你的所在地區,加上根據你的年齡會吸引你的事物等等作法,網路犯罪分子可以大大地增加你會回應網路釣魚郵件的機率。」

魚叉式網路釣魚會在eBay和Target攻擊後變得更加複雜。企業需要用現代化網路安全措施和雙因子認證來加以防範,以避免代價高昂的資料外洩事件。

企業可以做些什麼來避免像eBay這樣的事件?

eBay處理這起外洩事件很有啟發性。它有幾件事情做的不錯(如早期發現網路入侵)和一些比較不理想的地方,最顯著的是延遲給公眾的報告。這裡有一些重點給想要更好應對此類事件的企業:

  • eBay友善的請求其所有用戶重置密碼。在這種情況下,強迫大家改變登錄資料會是比較好的作法,因為如果可以自由選擇,很多人不會這樣做。
  • 雙因子身份驗證對於內部系統和面向消費者產品都很關鍵。如Google和WordPress等服務都已經提供使用者雙因子認證的選擇,讓竊賊只竊取登入憑證就想存取變得很困難。
  • 加強認證安全也很重要,因為很多使用者名稱和密碼組合過於簡單。跟許多資料外洩受害者一樣,eBay已經用加密來保護被竊的資料,但這安全層可能不足以保護弱或回收使用的密碼。如「123456」這樣的密碼是令人不安的常見,可以用最小的努力就破解。
  • 網路監控和發現軟體是即時捕獲惡意活動的關鍵。工作者不再只是使用辦公室內的電腦,往往會帶來可能包含惡意軟體的個人設備。現代的安全解決方案可以保護企業資料對抗這類威脅。 

企業可以進一步的在授予資料存取權限前要求實體認證。同樣地,可以讓核心資產只能透過私有IP網路連接,而非公開網路。儘管如此,這些措施對一些組織來說可能不切實際,使得以上作法在大多數情況下更為實用。

 

@原文出處:Social engineering attacks on the rise, part 1: eBay breach