会员中心
袭击者可以或许在不实用恶意顺序的情形下大局限偷取用户凭据
发布日期:2022-08-07 14:34    点击次数:178
 

美国联邦考察局 (FBI) 在其最新的年度报告中肯定,2020 年商业电子邮件泄露 (BEC) 和集团电子邮件帐户泄露 (EAC)在美国构成的损失起码为 18.6 亿美元,比 2019 年报告的损失增加了 5%。BEC和EAC占美国2020年报告的全体网络袭击损失的45%,60岁以上的集团占报告的受害者的11%。

或许相比,迄今为止已知的最大勒索软件损失为 4000 万美元。 2021 年 Unit 42 勒索软件利诱报密告现,2020 年勒索软件的匀称赎金为 847344 美元,而受害者领取的匀称赎金为 312493 美元。 2021 年上半年,匀称领取的赎金上涨了 82%,达到 570000 美元。不过这些匀称领取赎金的数字是激进的,因为它们只蕴含领取赎金中的间接款项损失。还不蕴含与公司在袭击时期被规画相干的损失,也不蕴含考察违规动作所花费的资源。

全体这些袭击(BEC、EAC 和勒索软件)都有一个怪异征,它们需要具有对目标网络或帐户的拜访特权。对付大大都袭击者来说,面对那些拥有通俗或低于通俗网络防御的目标,假装成非法用户或通信员进入网络或账户,仍然是获取神秘拜访权限、同时对立低被缔造危险的最俭朴、最经济的编制。经由过程运用非法凭据和果真可用的技能,恶意动作者可以或许“回避防御,偷取和偷取网络中的种种信息”。诚然 APT 经由过程暴力凭据袭击告成地完成为了他们的袭击目标,但在不少情形下,袭击者只是哀告不知情的受害者交出他们的安好凭据。

电子邮件凭据偷取技能的倒退

BEC/EAC 袭击的利润丰盛,促使袭击者接续编削和降级他们的袭击计策,以绕过种种呵护步调。个中一项较新的技能集成为了鱼叉式网络垂钓、自定义网页和宏壮的云单点登录生态体系,以诱运用户不经意地泄露其凭据。一种流行的计策是运用看似良性的网页,一旦关上,就会极度模仿流行和经常使用服务的非法登录屏幕,譬如:

Dropbox在一份声名中默示:“这项流动与Dropbox的服务有关。这评释,依附客户区分真假的难度越来越大。

当诳骗者运用这类计策时,他们平日会先发送带有诱饵的电子邮件,诱使收件人关上附件或点击网页链接。电子邮件平日聚焦于业务规画的某些部份(蕴含财务、人力资源、物流和普通办公室规画),并指向一个与需要用户操作的主题相干的附件或链接。这些主题蕴含汇款、发票、未偿付款项、报价哀告(RFQ)、置办确认、装运形态、语音邮件或经由过程电子邮件发送传真等。为了使电子邮件看起来更非法,一些袭击者以有意义的编制整合了目标的具体信息,蕴含在电子邮件的主题中。比来的一些邮件主题蕴含:

一旦关上,电子邮件就会呈现给用户一个典范的登录页面。为了升高思疑,袭击者常常以加强安好为幌子让用户挂号账户。在某些情形下,发送页面时已经包孕了用户的电子邮件地点(再次查验测验行进哀告的非法性),并且只哀告输入密码。这些误导性的登录屏幕会收回警报,譬如:

你需要经由过程电子邮件登录,以确保你是受呵护文件的非法收件人,邮件服务器的文件由“拔出安好提供商”呵护; 要浏览该文档,请输入此文件发送到的有用电子邮件痛处; 因为你正在拜访敏感信息,因而需要验证你的密码; 因为你正在拜访敏感信息,因而需要身份验证; 没法识别该设置配备摆设,为了安好起见,公司名称要其实; 你的电子邮件帐户(用户名)已经挂号,请单击“肯定”以登录; 请登录你的帐户以查察受呵护的文件; 你已经挂号,请输入准确的电子邮箱和密码; 经由过程登录 Office 以从任何地方拜访你的文档; 你的密码是查察传真信息的安好密码。

模仿Microsoft的恶意登录哀告的示例,需要凭据材干拜访文档

一个恶意登录哀告模仿SharePoint的例子,会员中心需要凭据材干拜访文档

模仿Microsoft的恶意登录哀告的示例,需要凭据材干拜访文档

袭击者们还增加了巧妙的计策来进一步诳骗用户。在某些情形下,他们自定义构建他们的“登录”模板,以成家他们所针对的特定公司运用的公司电子邮件体系的皮相和感到。在其他情形下,他们会痛处用户电子邮件地点的域部份自动检测联络纠葛公司,尔后将该公司的徽标集成到敲诈网页中。

JavaScript示例,用于从受害者的电子邮件地点识别构造,尔后将其徽标并吞到后续页面中。

其他,不少袭击者正在他们的代码中增加逻辑,以确保用户切确输入凭据。一个项目不准确的电子邮件地点或空白的密码将孕育发生一个舛误指点用户重试。袭击者还会对第一次准确项目化的查验测验自动做出“密码舛误,请再试一次”的反馈。这些技能增加了袭击者收到有用密码的兴许性,并兴许削减严谨用户的思疑,这些用户兴许首先输入假凭据来查察哀告是否非法。

用于验证凭据的 JavaScript 示例

假设诳骗者觉得他们让用户关上文件附件的机会过低,或许他们可以或许创立一个有点可信的齐全限制域名。在这类情形下,他们还可以或许俭朴地将用户指向非法托管服务上的网站,上面的技能都包孕在一个托管页面中。比来用户兴许舛误导航到的一些恶意网站蕴含:

用户输入并提交凭据后,Web 浏览器会将 HTTP 宣布哀告中的信息发送到平日以 *.php 扫尾的 URL。作为超文本处理惩罚器,PHP 使诳骗者兴许轻松捕获任何收到的凭据,对其举行解码并将其存储在数据库中。其他,诚然袭击者可以或许置办和回护支持这些陷阱的 Web 域,但我们看到大量运用之前被袭击和并吞的非法域来餍足这些骗子的需要。

这类对非法底子设置配备摆设的恶意运用给网络防御者带来了两个寻衅。首先,识别恶意流量是费力的,因为它发生在两个潜伏的可信网络之间。其次,一旦辨觉得恶意流动宿主,阻止非法域名平日是不兴许的,因为它也会阻止该域名的非法和常常需要的内容。因为这些启事以及零成本,黑客们越来越多地依附附加的底子设置配备摆设来达到他们想要的目标。

为了预防用户在没法登录子虚网站时孕育发生思疑,诳骗者平日会采取下列编制:

重定向到用户觉得他们正在登录的非法网站,假设已经登录,这会将他们间接带到他们的帐户中,从而增加他们对哀告的非法性的感到; “服务不成用舛误”倡导他们稍后再试; “找不到文件”舛误; “扫描文件锁定”舛误和“重定向回你的帐户”,尔后将用户重定向回其非法收件箱; 通用内容; 为网络垂钓查验测验定制的内容。

一旦袭击者偷取了有用的用户凭据,他们就离欺骗公司或用户的资金更近了一步。袭击者将运用偷取到的凭据对用户的文件、买卖和通信举行开端伺探。有了这些信息,袭击者今朝可以或许更好地相识以上情形:识别其他价钱目标、相识畸形的业务流程和审批链、交运用户的文档或同享文件拜访权限来创立自定义网络垂钓文档,并经由过程假装为帐户用户来运用帐户获取经济利益或转向更无利可图的情形。

总结

对付企业或用户来说,检测上述恶意计策兴许极度具有寻衅性。其他,大大都网络安好产品平日不会自动将这些流动检测为恶意流动,因为诳骗者们在其陷阱中运用了非法网页的切确本来,并无将木马、特务软件、键盘记载顺序或其他恶意软件纳入他们的偷取查验测验。 Unit 42 研究人员倡导采取下列步调来升高上述计策构成的电子邮件泄露危险:

对全体企业和集团帐户实行多要素身份验证; 接续更新和培训用户对付 BEC/集团 EAC 陷阱中运用的接续倒退的计策和社会工程; 不要信赖任何链接,一直验证; 确保用户和打点员显然,纵然文件告成经由过程病毒扫描,它仍然兴许具有恶意目标; 确保用户相识哪些服务是单点登录以及拜访这些帐户的非法 URL; 定期改观密码,每个帐户运用一个独立的宏壮密码,并运用密码打点器来跟踪凭据。

本文翻译自:https://unit42.paloaltonetworks.com/credential-harvesting/