【安全圈】攻击者可以在不适用恶意程序的情况下大规模盗取用户凭证

时间:2021-12-31来源:栏目:互联网

关键词窃取用户凭据美国联邦调查局(FBI)在最新的年度报告中确定,2020年美国商业电子邮件泄露(BEC)和个人电子邮件账户泄露(EAC)造成的损失至少为18.6亿美元,比2019年报告的损...

关键词

窃取用户凭据

美国联邦调查局(FBI)在最新的年度报告中确定,2020年美国商业电子邮件泄露(BEC)和个人电子邮件账户泄露(EAC)造成的损失至少为18.6亿美元,比2019年报告的损失增加了5%。BEC和EAC占2020年美国报告的所有网络攻击损失的45%,60岁以上的个人占报告受害者的11%。

粗略地说,目前已知的最大的软件损失是4000万美元。2021年,42单元勒索威胁报告发现,2020年勒索平均赎金为847,344美元,而受害者支付的平均赎金为312,493美元。2021年上半年,平均支付的赎金增加了82%,达到57万美元。然而,这些平均赎金支付数字是保守的,因为它们只包括赎金支付中的直接金钱损失。它也不包括攻击期间与公司运营相关的损失,也不包括调查违规行为所花费的资源。

所有这些攻击(BEC、EAC和ransomware)都有一个共同点。他们需要对目标网络或帐户拥有访问权限。对于大多数攻击者来说,面对网络防御普通或较低的目标,伪装成合法用户或通信者进入网络或账户,仍然是获得秘密访问权限的最简单、最经济的方法,同时保持被发现的风险较低。恶意行为人利用法律文件和公开可用的技术,可以“逃避防御,窃取、窃取网络中的各种信息”。尽管APT通过暴力凭据攻击成功实现了目标,但在许多情况下,攻击者只要求毫无防备的受害者交出他们的安全凭据。

电子邮件凭证盗取技术的发展

BEC/EAC攻击有利可图,促使攻击者不断修改和升级攻击策略,以绕过各种保护措施。其中一种较新的技术集成了鱼叉式网络钓鱼、定制网页和复杂的云单点登录生态系统,以诱使用户无意中泄露他们的凭据。一种流行的策略是使用看似良性的网页,一旦打开,就会模仿流行和常用服务的合法登录屏幕,例如:

Dropbox在声明中表示,“本次活动与Dropbox服务无关。这说明依靠客户辨别真假越来越难。

当欺诈者使用这种策略时,他们通常会先发送带有诱饵的电子邮件,以诱使收件人打开附件或点击网页链接。电子邮件通常关注业务运营的某些部分(包括财务、人力资源、物流和一般办公室运营),并指向与需要用户操作的主题相关的附件或链接。这些主题包括汇款、发票、未付金额、询价(RFQ)、购买确认、运输状态、语音邮件或电子邮件传真等。为了使电子邮件看起来更合法,一些攻击者以有意义的方式集成了目标的特定信息,包括电子邮件的主题。最近的一些电子邮件主题包括:

打开后,电子邮件将向用户呈现一个典型的登录页面。为了减少嫌疑,攻击者经常打着加强安全的幌子让用户注销账户。在某些情况下,发送页面时已经包含了用户的电子邮件地址(请重试以提高请求的合法性),并且只需要密码。这些误导性登录屏幕会发出警报,例如:

您需要通过电子邮件登录,以确保您是受保护文件的合法收件人,并且邮件服务器的文件受到“插入安全提供程序”的保护;

要阅读此文档,请输入发送此文件的有效电子邮件凭据;

因为您正在访问敏感信息,所以您需要验证您的密码;

因为您正在访问敏感信息,所以您需要身份验证;

设备无法识别。出于安全考虑,公司名称应真实;

您的电子邮件帐户(用户名)已注销,请单击“确定”登录;

请登录您的帐户以查看受保护的文件;

您已经注销,请输入正确的电子邮件地址和密码;

通过登录到Office,从任何地方访问您的文档;

您的密码是查看传真信息的安全密码。

模拟微软恶意登录请求的示例,该请求需要凭据才能访问文档。

模拟SharePoint的恶意登录请求的一个示例需要凭据才能访问文档。

模拟微软恶意登录请求的示例,该请求需要凭据才能访问文档。

攻击者还添加了巧妙的策略来进一步欺骗用户。在某些情况下,他们定制和构建他们的“登录”模板,以匹配他们所针对的特定公司使用的公司电子邮件系统的外观和感觉。在其他情况下,他们会根据用户电子邮件地址的域部分自动检测关联公司,然后贴上公司的logo

标集成到欺诈网页中。

JavaScript示例,用于从受害者的电子邮件地址识别组织,然后将其徽标合并到后续页面中。

此外,许多攻击者正在他们的代码中添加逻辑,以确保用户准确输入凭证。一个格式不正确的电子邮件地址或空白的密码将产生一个错误指示用户重试。攻击者还会对第一次正确格式化的尝试自动做出“密码错误,请再试一次”的反应。这些技术增加了攻击者收到有效密码的可能性,并可能减少谨慎用户的怀疑,这些用户可能首先输入假凭证来查看请求是否合法。

用于验证凭证的 JavaScript 示例

假设诈骗者认为他们让用户打开文件附件的机会太低,或者他们可以创建一个有点可信的完全限定域名。在这种情况下,他们还可以简单地将用户指向合法托管服务上的网站,上面的技术都包含在一个托管页面中。最近用户可能错误导航到的一些恶意网站包括:

用户输入并提交凭证后,Web 浏览器会将 HTTP 发布请求中的信息发送到通常以 *.php 结尾的 URL。作为超文本处理器,PHP 使诈骗者能够轻松捕获任何收到的凭证,对其进行解码并将其存储在数据库中。此外,虽然攻击者可以购买和维护支持这些骗局的 Web 域,但我们看到大量使用以前被攻击和合并的合法域来满足这些骗子的需求。

这种对合法基础设施的恶意使用给网络防御者带来了两个挑战。首先,识别恶意流量是困难的,因为它发生在两个潜在的可信网络之间。

其次,一旦识别为恶意活动宿主,阻止合法域名通常是不可能的,因为它也会阻止该域名的合法和经常需要的内容。由于这些原因以及零成本,黑客们越来越多地依靠附加的基础设施来达到他们想要的目的。

为了防止用户在无法登录虚假网站时产生怀疑,诈骗者通常会采用以下方法:

重定向到用户认为他们正在登录的合法网站,如果已经登录,这会将他们直接带到他们的帐户中,从而增加他们对请求的合法性的感觉;

“服务不可用错误”建议他们稍后再试;

“找不到文件”错误;

“扫描文件锁定”错误和“重定向回你的帐户”,然后将用户重定向回其合法收件箱;

通用内容;

为网络钓鱼尝试定制的内容。

一旦攻击者窃取了有效的用户凭证,他们就离骗取公司或用户的资金更近了一步。攻击者将使用盗取到的凭证对用户的文件、交易和通信进行初步侦察。有了这些信息,攻击者现在可以更好地了解以下情况:识别其他价值目标、了解正常的业务流程和审批链、利用用户的文档或共享文件访问权限来创建自定义网络钓鱼文档,并通过伪装为帐户用户来使用帐户获取经济利益或转向更有利可图的环境。

END

阅读推荐

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!

1.本站部分来源于互联网用户自主整合上传,如有侵权,请联系我们删除;

2.文章内容并不代表本站的观点或立场,如有关于文章内容,版权或其它问题请联系删除;

3.本文地址:https://www.jiatu888.com/hlw/87831.html

最新文章

网站介绍

本站部分内容收集于互联网,如有侵犯贵司(个人)版权,请联系本站删除。

Copyright@2018-2021 www.jiatu888.com 嘉图网 All Rights Reserved 粤ICP备20051635号 网站地图 tag列表

嘉图网