你知道什麼是身份/憑證盜用嗎?

簡介

為提高市民大眾的身份安全意識，本文將會嘗試對針對身份的網絡攻擊進行定義，並分析近年來此類攻擊的趨勢，亦會講解現時較為流行的數種攻擊手法。當了解網絡犯罪分子使用的技巧後，便可知悉網絡犯罪分子如何進行攻擊，以及在遇到類似情況時可即時作出相應防範。

什麼是身份認證及身份攻擊

身份認證是指驗證瀏覽資訊或服務權限的授權的過程，用作驗證並確保用戶有權瀏覽這些內容或服務。身份認證最常見的例子是使用用戶名和密碼登錄，而有關技術最近更已經發展到可以利用指紋或面部來識別用戶身份。儘管大多數身份認證技術都是值得信賴的，但都可能存在缺陷。而這些缺陷往往會遭網絡犯罪分子利用來發動攻擊。

顧名思義，身份攻擊是針對身份認證進行的攻擊，以賬戶或憑證作為攻擊途徑 (attack vectors)，偷取密碼、密鑰 (key)、會話令牌(Session Token)、用戶帳戶信息和其他詳細信息以假冒用戶身份。如果組織中較高權限的身份認證被偷取，更可以被利用作不同的惡意行為，例如分發勒索軟件或入侵系統偷取機密文件等等，最終招致重大損失。

近年攻擊趨勢

網絡釣魚是近年日趨頻密的最常見的身份攻擊方法之一。HKCERT最新發布的《香港保安觀察報告》季度報告顯示，本地釣魚網站事件在2022年第四季首次錄得過萬宗，達13,574宗，按季激升90%，較去年同期更上升逾11倍^[1]。此類攻擊的激增可歸因於開源網絡釣魚軟件包的氾濫，例如可以避開多重要素驗證 (Multi-factor authentication, MFA)進行「連線劫持」的Evilginx2。由此可見，針對身份的攻擊十分猖獗，並預計在可見的將來會繼續是一個主要的網絡安全威脅。

不同手法的身份攻擊

身份攻擊的手法層出不窮，了解不同的攻擊手法，可避免跌入陷阱。

• 中間人攻擊(AiTM)釣魚

網絡犯罪分子會利用電郵、SMS簡訊等方法把與官方網站十分相似的釣魚網站連結發出，誘騙用戶登入。再以釣魚網站作為一個跳板，在受害人與官方網站中間代理登入請求，從而成功繞過 MFA多重要素驗證。成功驗證後，把受害人載入官方網站繼續使用服務，而網絡犯罪分子在後台已成功偷取帳號資料及Session Cookies，以用作不法行為。

圖一：AiTM釣魚網站攔截認證過程

圖像來源：https://www.microsoft.com/en-us/security/blog/2022/07/12/from-cookie-theft-to-bec-attackers-use-aitm-phishing-sites-as-entry-point-to-further-financial-fraud/

• 多重要素驗證 (MFA)疲勞攻擊

網絡犯罪分子通過不同渠道，例如利用外洩的資料或進行「暴力破解法」^[2]，不斷測試可能的密碼組合來找出帳號密碼。隨後不斷發出身份驗證確認訊息，疲勞轟炸受害人，直至受害人屈服或錯手按下同意。

圖二：Microsoft身份驗證確認訊息頁面

圖片來源：https://jeffreyappel.nl/mfa-prompt-spamming-mfa-fatigue-what-can-you-do-to-prevent-detect-attacks/

• 偽裝廣告

網絡犯罪分子利用Google平台廣告功能，把惡意網站置頂，令用戶誤信惡意網站為正常網站。而惡意網站可能會誘使用戶下載安裝惡意程式或作中間人攻擊(AiTM)釣魚。

圖三：惡意假網站被置頂(紅圈)

圖片來源：Google 搜尋結果 (圖中偽裝廣告已下架)

• OAuth釣魚攻擊

網絡犯罪分子誘騙受害者授予權限給惡意程式，允許程式利用OAuth 2.0協議訪問帳戶詳細信息並執行操作。當惡意程式取得相關權限之後，可隨時訪問用戶數據。Microsoft亦曾發出警告，呼籲 O365用戶小心這類型的授權 ^[4]。

圖四： OAuth 應用程序通過 “請求權限” 來要求獲得權限

圖像來源： https://www.microsoft.com/en-us/security/blog/2021/07/14/microsoft-delivers-comprehensive-solution-to-battle-rise-in-consent-phishing-emails/

圖五：OAuth ”Consent”網絡釣魚攻擊流程

圖片來源：https://www.microsoft.com/en-us/security/blog/2021/07/14/microsoft-delivers-comprehensive-solution-to-battle-rise-in-consent-phishing-emails/

• 社交工程攻擊

網絡犯罪分子利用人的心理弱點來進行欺詐，例如會查看受害者社交媒體的內容，了解受害者的背景，冒充受害者的朋友或熟人，騙取受害人的個人資料，進行不法行為。

圖六：社會工程如何運作？

來源：https://www.checkpoint.com/cyber-hub/threat-prevention/social-engineering-attacks/#HowDoesItWork?

例子：中間人攻擊 (AiTM) 捕獲Facebook帳戶

以下是一個中間人攻擊的例子，網絡犯罪分子利用開源工具仿製了一個假Facebook登入專頁用以偷取帳戶資料。假登入專頁使用開源網絡釣魚軟件包來仿製及利用「誤植域名」令假登入專頁更像真^[4]。受害人在假Facebook登入專頁輸入帳戶資料及進行多重要素驗證 ，網絡犯罪分子在後台竊取帳戶資料及Session Cookies，並利用所竊取的資料登入受害人帳戶及聯絡受害人朋友，進行詐騙。

圖七：使用誤植域名的釣魚網站，誘使受害人輸入憑證及進行多重要素驗證

圖八：網絡犯罪分子後台獲得帳號密碼及Session Cookies

圖九：網絡犯罪分子利用獲得的用戶憑證登錄或載入Session Cookies到瀏覽器後，成功登錄受害者帳號

圖十： 聯繫受害者朋友及騙取金錢

總結及建議

以上提到了幾種不同的攻擊手法及攻擊例子。而隨著技術進一步發展，攻擊手法只會愈來愈多樣化。為防止個人資料或帳號被盜用，大家使用網上服務時需多加小心。就此，HKCERT提供以下保安建議：

1. 切勿假設使用HTTPS 協定的網站是絕對真實可信的；
2. 切勿假設搜索引擎搜尋結果顯示的全為合法網站；
3. 應小心檢查網址串法，核實網站真偽；
4. 收到可疑電子郵件或SMS簡訊時，切勿打開任何連結或附件；可利用「CyberDefender 守網者」的「防騙視伏器」，通過檢查電郵地址、網址和IP地址等，來辨識詐騙及網絡陷阱^[5]；
5. 向任何人或機構提供個人資料前要小心考慮清楚；
6. 使用更高規格的認證技術，例如硬件FIDO (Fast IDentity Online) 免密碼登入認證；
7. 避免在不同平台或服務使用相同的賬號和密碼；及
8. 使用網上服務後謹記登出及關閉瀏覽器。

參考資料

1. https://www.hkcert.org/tc/watch-report/hong-kong-security-watch-report-q4-2022
2. https://www.fortinet.com/resources/cyberglossary/brute-force-attack
3. https://www.zdnet.com/article/microsoft-warns-about-this-phishing-attack-that-wants-to-read-your-emails/
4. https://support.microsoft.com/en-us/topic/what-is-typosquatting-54a18872-8459-4d47-b3e3-d84d9a362eb0
5. https://cyberdefender.hk/scameter/