日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
攻擊者可以在不適用惡意程序的情況下大規(guī)模盜取用戶憑證

美國聯(lián)邦調(diào)查局 (FBI) 在其最新的年度報告中確定,2020 年商業(yè)電子郵件泄露 (BEC) 和個人電子郵件帳戶泄露 (EAC)在美國造成的損失至少為 18.6 億美元,比 2019 年報告的損失增加了 5%。BEC和EAC占美國2020年報告的所有網(wǎng)絡(luò)攻擊損失的45%,60歲以上的個人占報告的受害者的11%。

成都創(chuàng)新互聯(lián)服務(wù)項目包括湞江網(wǎng)站建設(shè)、湞江網(wǎng)站制作、湞江網(wǎng)頁制作以及湞江網(wǎng)絡(luò)營銷策劃等。多年來,我們專注于互聯(lián)網(wǎng)行業(yè),利用自身積累的技術(shù)優(yōu)勢、行業(yè)經(jīng)驗、深度合作伙伴關(guān)系等,向廣大中小型企業(yè)、政府機(jī)構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案,湞江網(wǎng)站推廣取得了明顯的社會效益與經(jīng)濟(jì)效益。目前,我們服務(wù)的客戶以成都為中心已經(jīng)輻射到湞江省份的部分城市,未來相信會繼續(xù)擴(kuò)大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任!

[[443101]]

粗略比較,迄今為止已知的最大勒索軟件損失為 4000 萬美元。 2021 年 Unit 42 勒索軟件威脅報告發(fā)現(xiàn),2020 年勒索軟件的平均贖金為 847344 美元,而受害者支付的平均贖金為 312493 美元。 2021 年上半年,平均支付的贖金上漲了 82%,達(dá)到 570000 美元。不過這些平均支付贖金的數(shù)字是保守的,因為它們只包括支付贖金中的直接金錢損失。還不包括與公司在攻擊期間被運營相關(guān)的損失,也不包括調(diào)查違規(guī)行為所花費的資源。

所有這些攻擊(BEC、EAC 和勒索軟件)都有一個共同點,它們需要具有對目標(biāo)網(wǎng)絡(luò)或帳戶的訪問特權(quán)。對于大多數(shù)攻擊者來說,面對那些擁有普通或低于普通網(wǎng)絡(luò)防御的目標(biāo),偽裝成合法用戶或通訊員進(jìn)入網(wǎng)絡(luò)或賬戶,仍然是獲得秘密訪問權(quán)限、同時保持低被發(fā)現(xiàn)風(fēng)險的最簡單、最經(jīng)濟(jì)的方法。通過使用合法憑證和公開可用的技術(shù),惡意行為者可以“逃避防御,盜取和竊取網(wǎng)絡(luò)中的各種信息”。雖然 APT 通過暴力憑證攻擊成功地實現(xiàn)了他們的攻擊目標(biāo),但在許多情況下,攻擊者只是要求不知情的受害者交出他們的安全憑證。

電子郵件憑證盜取技術(shù)的發(fā)展

BEC/EAC 攻擊的利潤豐厚,促使攻擊者不斷修改和升級他們的攻擊策略,以繞過各種保護(hù)措施。其中一項較新的技術(shù)集成了魚叉式網(wǎng)絡(luò)釣魚、自定義網(wǎng)頁和復(fù)雜的云單點登錄生態(tài)系統(tǒng),以誘使用戶不經(jīng)意地泄露其憑證。一種流行的策略是使用看似良性的網(wǎng)頁,一旦打開,就會非常模仿流行和常用服務(wù)的合法登錄屏幕,例如:

Dropbox在一份聲明中表示:“這項活動與Dropbox的服務(wù)無關(guān)。這表明,依賴客戶辨別真假的難度越來越大。

當(dāng)詐騙者使用這種策略時,他們通常會先發(fā)送帶有誘餌的電子郵件,誘使收件人打開附件或點擊網(wǎng)頁鏈接。電子郵件通常聚焦于業(yè)務(wù)運營的某些部分(包括財務(wù)、人力資源、物流和一般辦公室運營),并指向一個與需要用戶操作的主題相關(guān)的附件或鏈接。這些主題包括匯款、發(fā)票、未償付款項、報價請求(RFQ)、購買確認(rèn)、裝運狀態(tài)、語音郵件或通過電子郵件發(fā)送傳真等。為了使電子郵件看起來更合法,一些攻擊者以有意義的方式整合了目標(biāo)的具體信息,包括在電子郵件的主題中。最近的一些郵件主題包括:

一旦打開,電子郵件就會呈現(xiàn)給用戶一個典型的登錄頁面。為了降低懷疑,攻擊者經(jīng)常以加強安全為幌子讓用戶注銷賬戶。在某些情況下,發(fā)送頁面時已經(jīng)包含了用戶的電子郵件地址(再次嘗試提高請求的合法性),并且只要求輸入密碼。這些誤導(dǎo)性的登錄屏幕會發(fā)出警報,例如:

  • 你需要通過電子郵件登錄,以確保你是受保護(hù)文件的合法收件人,郵件服務(wù)器的文件由“插入安全供應(yīng)商”保護(hù);
  • 要閱讀該文檔,請輸入此文件發(fā)送到的有效電子郵件憑據(jù);
  • 因為你正在訪問敏感信息,因此需要驗證你的密碼;
  • 因為你正在訪問敏感信息,因此需要身份驗證;
  • 無法識別該設(shè)備,為了安全起見,公司名稱要真實;
  • 你的電子郵件帳戶(用戶名)已經(jīng)注銷,請單擊“確定”以登錄;
  • 請登錄你的帳戶以查看受保護(hù)的文件;
  • 你已經(jīng)注銷,請輸入正確的電子郵箱和密碼;
  • 通過登錄 Office 以從任何地方訪問你的文檔;
  • 你的密碼是查看傳真信息的安全密碼。

模擬Microsoft的惡意登錄請求的示例,需要憑證才能訪問文檔

一個惡意登錄請求模擬SharePoint的例子,需要憑證才能訪問文檔

模擬Microsoft的惡意登錄請求的示例,需要憑證才能訪問文檔

攻擊者們還添加了巧妙的策略來進(jìn)一步欺騙用戶。在某些情況下,他們自定義構(gòu)建他們的“登錄”模板,以匹配他們所針對的特定公司使用的公司電子郵件系統(tǒng)的外觀和感覺。在其他情況下,他們會根據(jù)用戶電子郵件地址的域部分自動檢測關(guān)聯(lián)公司,然后將該公司的徽標(biāo)集成到欺詐網(wǎng)頁中。

JavaScript示例,用于從受害者的電子郵件地址識別組織,然后將其徽標(biāo)合并到后續(xù)頁面中。

此外,許多攻擊者正在他們的代碼中添加邏輯,以確保用戶準(zhǔn)確輸入憑證。一個格式不正確的電子郵件地址或空白的密碼將產(chǎn)生一個錯誤指示用戶重試。攻擊者還會對第一次正確格式化的嘗試自動做出“密碼錯誤,請再試一次”的反應(yīng)。這些技術(shù)增加了攻擊者收到有效密碼的可能性,并可能減少謹(jǐn)慎用戶的懷疑,這些用戶可能首先輸入假憑證來查看請求是否合法。

用于驗證憑證的 JavaScript 示例

假設(shè)詐騙者認(rèn)為他們讓用戶打開文件附件的機(jī)會太低,或者他們可以創(chuàng)建一個有點可信的完全限定域名。在這種情況下,他們還可以簡單地將用戶指向合法托管服務(wù)上的網(wǎng)站,上面的技術(shù)都包含在一個托管頁面中。最近用戶可能錯誤導(dǎo)航到的一些惡意網(wǎng)站包括:

用戶輸入并提交憑證后,Web 瀏覽器會將 HTTP 發(fā)布請求中的信息發(fā)送到通常以 *.php 結(jié)尾的 URL。作為超文本處理器,PHP 使詐騙者能夠輕松捕獲任何收到的憑證,對其進(jìn)行解碼并將其存儲在數(shù)據(jù)庫中。此外,雖然攻擊者可以購買和維護(hù)支持這些騙局的 Web 域,但我們看到大量使用以前被攻擊和合并的合法域來滿足這些騙子的需求。

這種對合法基礎(chǔ)設(shè)施的惡意使用給網(wǎng)絡(luò)防御者帶來了兩個挑戰(zhàn)。首先,識別惡意流量是困難的,因為它發(fā)生在兩個潛在的可信網(wǎng)絡(luò)之間。其次,一旦識別為惡意活動宿主,阻止合法域名通常是不可能的,因為它也會阻止該域名的合法和經(jīng)常需要的內(nèi)容。由于這些原因以及零成本,黑客們越來越多地依靠附加的基礎(chǔ)設(shè)施來達(dá)到他們想要的目的。

為了防止用戶在無法登錄虛假網(wǎng)站時產(chǎn)生懷疑,詐騙者通常會采用以下方法:

  • 重定向到用戶認(rèn)為他們正在登錄的合法網(wǎng)站,如果已經(jīng)登錄,這會將他們直接帶到他們的帳戶中,從而增加他們對請求的合法性的感覺;
  • “服務(wù)不可用錯誤”建議他們稍后再試;
  • “找不到文件”錯誤;
  • “掃描文件鎖定”錯誤和“重定向回你的帳戶”,然后將用戶重定向回其合法收件箱;
  • 通用內(nèi)容;
  • 為網(wǎng)絡(luò)釣魚嘗試定制的內(nèi)容。

一旦攻擊者竊取了有效的用戶憑證,他們就離騙取公司或用戶的資金更近了一步。攻擊者將使用盜取到的憑證對用戶的文件、交易和通信進(jìn)行初步偵察。有了這些信息,攻擊者現(xiàn)在可以更好地了解以下情況:識別其他價值目標(biāo)、了解正常的業(yè)務(wù)流程和審批鏈、利用用戶的文檔或共享文件訪問權(quán)限來創(chuàng)建自定義網(wǎng)絡(luò)釣魚文檔,并通過偽裝為帳戶用戶來使用帳戶獲取經(jīng)濟(jì)利益或轉(zhuǎn)向更有利可圖的環(huán)境。

總結(jié)

對于企業(yè)或用戶來說,檢測上述惡意策略可能非常具有挑戰(zhàn)性。此外,大多數(shù)網(wǎng)絡(luò)安全產(chǎn)品通常不會自動將這些活動檢測為惡意活動,因為詐騙者們在其騙局中使用了合法網(wǎng)頁的精確副本,并沒有將木馬、間諜軟件、鍵盤記錄程序或其他惡意軟件納入他們的盜取嘗試。 Unit 42 研究人員建議采取以下措施來降低上述策略造成的電子郵件泄露風(fēng)險:

  • 對所有企業(yè)和個人帳戶實施多因素身份驗證;
  • 不斷更新和培訓(xùn)用戶關(guān)于 BEC/個人 EAC 騙局中使用的不斷發(fā)展的策略和社會工程;
  • 不要相信任何鏈接,始終驗證;
  • 確保用戶和管理員明白,即使文件成功通過病毒掃描,它仍然可能具有惡意目的;
  • 確保用戶了解哪些服務(wù)是單點登錄以及訪問這些帳戶的合法 URL;
  • 定期更改密碼,每個帳戶使用一個獨立的復(fù)雜密碼,并使用密碼管理器來跟蹤憑證。

本文翻譯自:https://unit42.paloaltonetworks.com/credential-harvesting/

 


網(wǎng)站欄目:攻擊者可以在不適用惡意程序的情況下大規(guī)模盜取用戶憑證
文章源于:http://www.dlmjj.cn/article/dhgjhid.html