比特幣騙局的案例研究 - 結合社交工程和權限提升的攻擊

香港電腦保安事故協調中心將透過本文為中小企和公眾提供有關防範社交工程攻擊和權限提升攻擊的建議。

1. 背景

2020年7月15日，一個大型網絡社交平台上有130個名人帳戶遭到入侵，用來設置比特幣騙局[1]。黑客利用多種策略發動了精密的攻擊，他們首先使用社交工程攻擊來竊取該社交網絡平台公司員工的系統登入憑證，然後以被盜員工帳戶的權限存取內部系統及支援工具。其後，在名人的帳戶上大規模地發放比特幣騙局訊息，受影響賬戶包括億萬富翁、著名歌手和政客。訊息內容訛稱如公眾轉賬到指定比特幣錢包，發送人會回饋兩倍金額，作為COVID-19的抒困措施。

因為名人效應，這次以常見虛擬貨幣騙局手段發動攻擊的事故令很多人受騙，騙徒從中獲利12.83比特幣[2], 約相當於港幣1,166,000元。美國當局在7月31日逮捕了三名涉事疑犯[3]，發現他們結合了社交工程和權限提升攻擊。這次事件提醒我們，防範社交工程攻擊和防止內部威脅（例如權限提升）對於網絡安全至關重要。

2. 攻擊分析

究竟黑客是如何入侵如此多的賬戶? 該社交平台的支援團隊在7月16日表示[4]：「我們發現有人成功針對我們某些可使用內部系統和工具的員工，發動了協同式社交工程攻擊。」 根據該社交網絡平台的博文[5] ，這次社交工程攻擊以少數員工為目標，利用電話進行釣魚攻擊。要成功發動這次攻擊，需要有兩個關鍵因素：(1) 獲得進入內部網絡的存取權限； (2) 偷取能讓他們使用帳戶管理工具的特定員工的權限。明顯地，最初被攻擊的員工帳戶未必擁有使用帳戶管理工具的權限，於是黑客繼續使用該被盜帳戶進入內部系統，尋找有權使用這些工具的員工帳戶(權限提升)。簡而言之，黑客利用社交工程攻擊存取內部系統，使用安全漏洞以提升用戶存取權限，最後使用一些用戶支援工具發動攻擊。在以下章節中，我們將進一步說明社交工程和權限提升攻擊是如何用作網絡攻擊。

2.1 通過社交工程攻擊竊取憑證

社交工程是指誘導別人做出某些行爲或透露機密資料[6]。換言之，社交工程是一種攻擊手段，利用人類心理的弱點來獲取私人資料、訪問權限或其他有價值的資料[7]。

社交工程一直是常見的竊取用戶憑證方式。由於2019冠狀病毒疫情的關係，令遙距存取的使用量大增，同時騙取用戶存取憑證的社交工程攻擊亦大量增加。除了使用釣魚電郵外，攻擊者最近還開始進行語音網絡釣魚攻擊，將電話和網絡釣魚網站結合在一起，以竊取公司員工的VPN登入憑證[8]。上述的個案亦是其中一例，攻擊者使用此方式獲得訪問内部網絡的憑證而進入公司系統[9]。可見，隨著遙距工作越來越普遍，社交工程攻擊對於企業的網絡保安將是一個巨大的威脅。

2.1.1 最常見的社交工程攻擊方式-網絡釣魚

在各類型的社交工程攻擊中，網絡釣魚最為常見。攻擊者偽裝成可信任的機構或人士，以誘騙受害人提供個人資料和其他有價值的訊息。

網絡釣魚攻擊通常以兩種方式發動：

1. 群發式網絡釣魚是針對大量用戶的廣泛攻擊，内容並非個人化。
2. 魚叉式網絡釣魚針對特定用戶，通常使用個人化訊息。 上述個案就是魚叉式網絡釣魚的一個例子。

無論是通過即時通訊軟件，還是通過虛假的網站表單，詐騙者的目的都是誘使用戶提供信息或有用的資料，甚至安裝惡意軟件。在網絡釣魚攻擊中常用的三種手法包括：

• 最傳統的手段是使用電子郵件促使收件人回覆或跟進。相關電郵樣本可參閱本中心的博文[10][11][12]。
• 語音網絡釣魚使用僞造的互動語音系統來記錄受害者輸入資料，或者以真人與受害者對話，增加信任度和迫切性。如上文所提到，有些黑客使用此方法竊取VPN憑證。
• SMS網絡釣魚使用SMS短訊或流動應用程式傳播訊息，内容包括釣魚網絡連結或讓用戶跟進欺詐性電子郵件或電話號碼的提示內容。 例如騙徒在2019冠狀病毒疫情期間，發送有關免費贈送口罩或延遲送貨的SMS短訊，誘使受害者提供個人資料。與疫情相關的網絡釣魚攻擊保安建議，可參閱本中心之前的博文[13]。

2.1.2 通過社交工程親身進入目標場所

為了可存取相關的內部系統，黑客除了進行網絡釣魚攻擊外，還會嘗試親身接觸系統。例如，黑客可能冒充外部資訊科技服務審核員或工作人員，騙取保安員的信任讓其進入大廈。

總結：攻擊的第一步是先要進入內部系統，使用社交工程攻擊為最常用的方法。

2.2 通過權限提升攻擊控制帳戶管理工具

根據《紐約時報》的報導[14]，黑客利用盜取的憑證進入公司的內部即時通訊頻道後，透過員工之間的對話鎖定擁有操作帳戶管理工具權限的員工。最終黑客取得了使用帳戶管理工具的權限，從而發動比特幣騙局攻擊。

權限提升攻擊有兩種類型：橫向和縱向。橫向權限提升是指黑客先取得某帳戶的權限，然後不當地利用同一級別另一帳戶的資源來擴展其權限。縱向權限提升是指黑客試圖利用他們已入侵的現有帳戶獲得更多或更高的權限。

在此個案中，黑客首先使用橫向攻擊擴展其權限，然後使用縱向攻擊，使其成功發動攻擊。

3. 保安建議

大多數網絡保安事故都源於社交工程攻擊。如果有員工墮入陷阱，可能會導致一連串進一步的攻擊，情況類似上述個案。因此，機構必須提高員工的保安意識來防止遭受類似的攻擊。

以下保安建議讓機構用戶避免受到社交工程攻擊：

1. 切勿點擊或打開來歷不明的電郵、短訊或社交媒體內的連結；
2. 在點擊連結、打開附件或提供資料前，先核實寄件人身份；
3. 使用長及難以猜到的密碼。如系統支援多重驗證，用戶應啓用；
4. 使用保安軟件並保持更新；
5. 小心看管流動裝置或個人電腦等可連接到機構網絡的設備；
6. 定期進行用戶保安意識培訓和網絡釣魚演習測試。

以下讓機構避免受到權限提升攻擊的建議：

1. 採取「必需知道」[15]的保安原則，以及禁止員工通過即時通訊頻道或群組分享敏感信息；
2. 建立特定的用戶和群組，並提供最低限度的系統權限和檔案存取權限；
3. 安裝保安工具，例如網絡分析、電腦防護和用戶行為分析工具，以檢測和防止異常的帳戶存取和活動；
4. 更新系統和應用程序至最新版本；
5. 加強系統存取監控，並定期檢查具特殊權限的帳戶；
6. 建立全面保安政策，當中應涵蓋普通和特殊權限帳戶的管理、網絡和實體保安。假如黑客入侵機構的普通用戶帳戶，擁有完善的帳戶管理和保安政策能有效地減少入侵所帶來的影響。

參考資料