【疲勞轟炸】黑客假扮IT部門 狂發MFA驗證令員工跪低

    不少專家均建議企業啟用多重因素驗證 ( MFA ),以保障員工帳戶的安全。不過,MFA 並非萬能,因為決策權始終握在用家手上。有黑客集團就將釣魚攻擊結合疲勞轟炸手段,令用家自動確認可疑的 MFA 驗證,例如 Uber 被入侵事件就是其中一個案例。

    Call 車 app Uber 的員工帳戶早前被入侵,導致內部應用服務被塗改內容,以及發生數據外洩。事後黑客集團 Lapsus$ 其中一位聲稱 18 歲的成員承認責任,指入侵 Uber 只因對方的網絡安全措施非常弱。經調查後,網絡安全專家說這次事件相信是對方從暗網取得相關員工的帳戶登入資料,然後再利用釣魚攻擊,假扮成 IT 支援部門經 WhatsApp 與目標員工聯絡,一方面利用資料登入帳戶,同時間說服員工確認從帳戶發出的 MFA 登入授權,因此才能通過 MFA 驗證入侵內部網絡。

    專家解釋,有跡象顯示 Lapsus$ 及 Yanluowang 兩個黑客集團愈來愈多使用上述手法入侵,專家指雖然部分員工會忽視可疑的 MFA 授權要求,但黑客會採用疲勞轟炸手段,多次向目標員工發出要求,令對方感到煩厭,最終便會親手按下確認掣,黑客因而可以登入帳戶,並使用員工的授權執行各種犯罪行為。Lapsus$ 黑客便成功入侵 Uber,Yanluowang 則通過獲得員工授權登入 Google 帳戶,最終可儲存公司採用的 Cisco VPN 服務。

    被入侵的公司其實已實施了 MFA 登入驗證,理論上較單純使用登入名稱及密碼的驗證方法安全。不過,問題卻出在員工身上,黑客首先以釣魚攻擊令員工相信他們是 IT 支援部門同事,再利用其他方法如令對方感到煩厭、擔心帳戶出問題,因此即使感到可疑也親手授權。專家建議企業管理者應為員工提供安全培訓,鼓勵員工在遇到可疑問題時應以既定方法聯絡 IT 部門,才能減少帳戶被入侵的風險。

    資料來源:https://cyware.com/news/mfa-fatigue-new-social-engineering-attack-takes-toll-on-corporate-firms-93416f07

    相關文章:【顧客至上】釣魚即服務全方位照顧客戶 EvilProxy毋懼2FA、MFA驗證

    #CiscoVPN #Lapsus$ #MFA #MFAFatigue #Uber #Yanluwang #多重因素驗證 #帳戶安全

    相關文章