中間人攻擊和商業郵件詐騙　微軟揭露銀行龍頭被攻擊

編譯／陳佩君

微軟發現中間人攻擊和商業郵件詐騙攻擊金融龍頭，中間人攻擊（Adversary-in-the-Middle，AitM）是駭客在目標和受害者訪問的網站中部屬代理伺服器，其網站會被駭客模仿，進而竊取中間對話的Cookie等訊息，顯示該攻擊的複雜性，這能冒充受害者進行未授權的操作。商業郵件詐騙（Business Email Compromise，BEC）攻擊是針對企業或組織財務流程，駭客通過入侵電子郵件系統或冒充高階職位人員，欺騙員工執行財務交易，轉移資金或揭露敏感資料，其攻擊常利用社交工程手段，例如欺騙電子郵件、偽造文件或偽造身份來獲取受害者的信任。AitM和BEC攻擊駭客常結合使用，利用AitM獲取用戶憑證和敏感資料，且利用這些資料進行BEC攻擊，以獲取財務利益。

在一家科技公司龍頭報告中顯示，「攻擊起源由一家受感染的信任供應商，進而發展成一系列AitM攻擊和隨之而來跨多組織的BEC活動。」微軟並表示，「駭客模仿目標應用程序登錄頁面網站，像傳統釣魚攻擊一樣，該網站托管在雲端服務上。該登錄頁面包含從駭客控制的伺服器加載資源，使用受害者憑證啟動與目標應用程序的身份驗證，並提供身份驗證會話。」

該攻擊始於一封釣魚郵件，其內容網址連結被點擊時，受害者將被重新導向到偽造微軟登錄頁面，使受害者輸入憑證和TOTP。駭客使用收集的密碼和會話Cookie冒充用戶，濫用訪問權限來獲取敏感郵件並發起BEC攻擊。此外，駭客並在目標帳戶添加新SMS雙因子身份驗證，減少引起注意下使用竊取的憑證進行登錄。微軟分析此為駭客發起大規模垃圾郵件攻擊，發送超過16,000封郵件，並且觀察到他們採取一些措施減少被檢驗的風險，來建立持久性的攻擊。微軟補充，「這次攻擊展示AitM和BEC威脅的複雜性，濫用供應商、其他合作組織之間的信任關係，以實現金融欺詐。現在BEC攻擊除了擁有用戶帳號和密碼外，還有本地化IP地址空間，以支持惡意活動並可隱藏移動、規避『Impossible Travel』的安全功能，替駭客打開進一步攻擊大門。」

防止類似攻擊事件我們必須提高資訊安全的意識、強化多因子驗證（Multi-factor authentication， MFA）、加強電子郵件安全、定期更新和強化網路安全措施、建立供應商監控機制、實施安全培訓和政策等，這些措施結合可大大降低AitM網絡釣魚和BEC攻擊的風險，並保護組織的資料和財務安全。
資料來源：The Hacker News

瀏覽 716 次