資安業者Zscaler在今年6月發現了一個大規模的網釣活動,此一惡意活動鎖定了使用微軟電子郵件服務的企業,而且採用了先進的中間人(Adversary-in-The-Middle,AiTM)攻擊,以繞過多因素認證(Multi-Factor Authentication,MFA)機制,目的是挾持受害者的微軟帳號,並展開商業電子郵件詐騙(Business Email Compromise,BEC)。
在AiTM網釣攻擊中,駭客在使用者與所造訪的網站之間建立一個代理伺服器,藉以竊取使用者所輸入的憑證,以及已通過身分認證的期間Cookie,因而得以挾持使用者的帳號。
微軟在今年7月初也曾揭露類似的攻擊行動,強調駭客是藉由AiTM盜走了期間Cookie,因而不論使用者採用任何身分認證方法,都無損於駭客獲准進入期間的能力,並非為MFA的安全漏洞。
根據Zscaler的觀察,駭客的攻擊對象遍布美國、英國、紐西蘭與澳洲,涵蓋金融科技、借貸、保護、能源與製造業,雖然坊間已有常見的AiTM網釣套件,諸如Evilginx2、Muraena與Modlishka,但駭客在這波攻擊中使用的是客製化套件,且在文章發表時,相關攻擊仍在持續中,每天都會註冊新的網釣網站。
所有的攻擊都是始於網釣郵件,並於郵件中嵌入惡意連結,有些企業的主管在被駭之後,其帳號還被用來寄送更多的網釣郵件,駭客亦濫用合法的CodeSandbox與Glitch等服務(下圖),以及部署了各種偽裝,以確保不被資安管理人員或安全機制發現。
Zscaler也部署了一個誘捕系統(Honey Pot),造訪駭客所提供的網釣網頁、輸入了憑證並完成多因素認證,發現駭客在取得憑證的8分鐘之後,便登入了Zscaler所設立的帳號,不過,駭客只是檢查了該帳號的使用者檔案,並讀取了電子郵件,並未執行其它的惡意行動。但這8分鐘令Zscaler猜測帳號被危害之後的攻擊行動,是手動而非自動化的。
另一方面,根據美國聯邦調查局(FBI)網路犯罪投訴中心(Internet Crime Complaint Center,IC3)2021年的統計,商業電子郵件詐騙(Business Email Compromise,BEC)是去年網路犯罪投訴數量排行榜上的第九名,遠不如網釣、交易詐騙、個資外洩、身分竊盜或勒索等,但該類型的詐騙卻高居損失排行榜的第一名,去年因BEC而造成的損失為24億美元,占所有網路犯罪金額的35%,也無怪乎駭客費力部署AiTM的最終目的是進行商業電子郵件詐騙。
Zscaler亦已公布此波大規模網釣攻擊的網路入侵指標(IOC)供外界參考。
(相關資訊來自iThome)
