跳至主內容

繞過多重認證保護,盜用電郵帳號

最近Microsoft研究人員發現了一個大規模網絡釣魚活動,即使用戶啟用了多重認證(multi-factor authentication, MFA) 也能被竊取電子郵箱帳號。研究表示這種手法的釣魚攻擊自 2021 年 9 月以來一直活躍,到今天為止已經試圖攻擊至少一萬個組織。

發佈日期: 2022年08月02日 2945 觀看次數

當中使用的技術其實不太難理解,這種技術名為中間人攻擊 (adversary-in-the-middle, AiTM) ,攻擊手法如下:

 

  1. 黑客部署代理伺服器及假網站,之後會對目標用戶發送釣魚郵件;
  2. 用戶不虞有詐打開郵件中的假網站連結或者附件;
  3. 用戶被重新定向去假網站,而假網站會要求用戶輸入電子郵箱帳號和密碼登入;
  4. 用戶輸入帳號密碼並用MFA通過身份驗證,黑客建立的代理伺服器會將用戶輸入的資料重新導向到合法的網站頁面,從而使用戶成功登入;
  5. 黑客則已經在後台截取了用戶憑據和身份驗證的資料,結果在用戶未發現的情況下,被黑客成功入侵用戶的電子郵箱帳號;

 

成功入侵後,黑客會查找用戶郵箱與付款或發票等相關的電郵會話,之後會假扮用戶發出欺詐郵件,例如要求用戶的客人或者同事向黑客銀行帳戶匯款。

 

為了讓受害用戶注意不了可疑的郵件會話,黑客更會刪除他們發出的欺詐電郵,同時建立收件箱規則去隱藏欺詐目標回覆的電郵。例如設定用戶郵箱收到被欺詐目標的電郵時,該電郵會自動刪除或移動到archive文件夾並將其標記為已讀。

 

縱使這類攻擊手法能夠繞過MFA,但無可否認MFA在阻止其他各種攻擊方式仍然非常有效,因此用戶最好還是使用MFA來保護帳號安全。

 

 

HKCERT建議用戶:

 

  1. 輸入任何登入資訊前,檢查登入頁面的網址以確保連接到官方登入網站
  2. 不要打開可疑的電子郵件或信息
  3. 不要打開任何不明電郵中的網站連結或附件
  4. 不要透過電子郵件提供的連結或未知網站來登入帳號
  5. 檢查收件箱設置是否異常,例如可疑的收件箱規則或賬戶活動記錄
  6. 使用更高規格的認證技術,例如硬件FIDO (Fast IDentity Online) 免密碼登入認證

 

相關資料:

https://www.microsoft.com/security/blog/2022/07/12/from-cookie-theft-to-bec-attackers-use-aitm-phishing-sites-as-entry-point-to-further-financial-fraud/

https://fidoalliance.org/what-is-fido/ 

相關標籤