雲端安全解決方案供應商 Barracuda發表每月《焦點報告》(Threat Spotlight),就騙徒惡意使用網上表格發動新型惡意攻擊發出警示。
這類新型攻擊中,騙徒大規模仿冒Google旗下網站,騙取受害者提供登錄憑證。 2020年首4個月,此類仿冒攻擊佔網絡釣魚攻擊總量百分之四。而年初至今,Barracuda研究人員發現同類攻擊呈現持續趨勢,並預計數字將會繼續攀升。
威脅重點
此類品牌仿冒攻擊中,網絡犯罪分子利用文件檔案、內容共享網站,或其他工作網站如docs.google.com或sway.office.com,誘騙受害者提供敏感憑證。由於這類具針對性的釣魚電郵通常包含正當網站鏈接,令攻擊難以偵測,更狡詐的是,黑客不慬竊取憑證,更可非法獲取帳戶存取權。
由2020年1至4月期間,Barracuda偵測到近10萬宗透過網上表格發動惡意攻擊。其中,65%的攻擊使用Google文件共享存儲網站,包括storage.googleapis.com (25%) 、docs.google.com (23%) 、storage.cloud.google.com (13%) 和drive.google.com (4%) 。
比較下,使用微軟旗下品牌的攻擊所佔比例是13%,其中onedrive.live.com (6%) 、
sway.office.com (4%) 和forms.office.com (3%) 。其他被仿冒的網站包括sendgrid.net (10%) 、mailchimp.com (4%) 和formcrafts.com (2%) ,其餘網站佔總數的6%。
詳情
網絡犯罪分子利用網上表格攻擊竊取憑證,手法層出不窮。以下是最常見的三種:
- 以正當網站為媒介
網絡犯罪分子利用仿冒由OneDrive或其他文件共享網站自動發出的電郵,引誘受害者到訪釣魚網站。例如,攻擊者發送的電郵包含連結至sway.office.com等網站上的文件,透過文件的圖片,將受害者連結至釣魚網站並要求輸入登錄憑證。
- 建立網上表格,發動攻擊
攻擊者使用正當網絡服務 (如forms.office.com) 建立網上表格,這些表格仿冒正當網站的登錄頁面,然後透過釣魚郵件附上表格鏈接,以獲取用戶登錄憑證。由於此類攻擊包含正當網站鏈接,因而更難被偵測到。然而,一般帳戶驗證或密碼更改服務並不會使用網上表格網站域名。
- 毋須使用密碼,非法登錄帳戶
此類網絡釣魚手法中,黑客可以在毋須憑證下,非法存取受害者的電郵帳戶,令其威脅性大增。黑客在釣魚郵件中插入看似正當網站的登錄頁面鏈接,鏈接會要求用戶提供應用程序”存取權標” (access token),受害者輸入登錄憑證後,會收到應用程序授權列表,一旦授權後,受害者不慬登錄密碼被盜,更將”存取權標” 授權該惡意應用程序使用相同的憑證非法存取帳戶。
類似攻擊可能被用戶長期忽略,並繼續在正當網站上使用相同憑證,但由於惡意應用程式已獲得用戶授權訪問帳戶,即使雙重認證也無法抵禦相關攻擊。
如何防禦惡意攻擊網上表格
以API為基礎的收件箱防禦
網絡犯罪分子的策略是繞過電郵閘道和垃圾郵件過濾器。因此,部署人工智能解決方案相當重要,方案可以偵測並阻截帳戶接管和域名冒充等惡意攻擊,利用機器學習分析內部的溝通模式以識別異常情況,而單靠傳統的檢測惡意鏈接或附件並不足以應付這類攻擊。
部署多重身份驗證
多重身份驗證,亦稱MFA、以雙重身份驗證或兩步驗證,為用戶名和憑證提供額外安全防禦,例如驗證碼、指紋驗證或視網膜掃描驗證等。
防止帳戶接管
利用科技識別可疑活動和帳戶接管(account takeover)的跡象,例如在異常時間、位置、或IP地址的登錄。追蹤行為可疑的IP,例如登錄失敗和來自可疑設備的存取等。
此外,監察電郵帳戶的惡意收件箱設定亦格外重要,因為網絡犯罪分子經常用此種手法發動帳戶接管。網絡犯罪分子登錄帳戶,建立轉發設定,隱藏或刪除其從該帳戶發送的郵件,試圖掩蓋痕迹。
提升用戶安全教育
為防範惡意網絡攻擊,需要開展教育,培養用戶使用網上表格的安全意識,以識別潛在風險,並懂得如何報告攻擊。利用網絡釣魚模擬 培訓用戶識別網絡攻擊,測試培訓的成效,並評估風險所在。
有關報告詳情,可參閱英文版附件或於 https://blog.barracuda.com/2020/05/28/threat-spotlight-form-based-attacks/下載。
這篇文章 網絡安全威脅《焦點報告》:惡意使用網上表格發動攻擊 最早出現於 TechApple.com。
