【隨筆賞科技】疲勞轟炸與身分認證
正所謂「道高一尺,魔高一丈」,黑客的招數也是層出不窮。近年,網絡攻擊者已從以往試圖獲取端點控制,轉向獲取使用者憑證與帳戶存取權,即接管帳戶攻擊(Account Takeover)。這令到使用者在機構內的身分,變得比使用者的端點存取權更加重要。
目前,接管帳戶攻擊已成為最常見而有效的黑客攻擊手段。攻擊者主要透過商品資訊竊取器,以及企業內部數據進行入侵,並從營運上收集到的資訊,以繞過多種因素認證(MFA)來竊取使用者身分。
而隨着雙重驗證廣泛被使用,MFA 疲勞攻擊(Multifactor Authentication Fatigue)變得更常見,而一次性密碼(OTP)亦更容易受到社交工程攻擊(Social Engineering Attack)。
MFA 疲勞攻擊的手段,是利用使用者的「驗證疲勞」去騙取多重因素驗證碼。例如黑客會假扮成公司的 IT 部門員工,假借要更新系統或重新驗證帳戶為名,向目標員工發訊息要求輸入獲取的驗證碼。由於黑客會鍥而不捨向對方進行訊息轟炸,有員工會不堪受擾而大意地交出驗證碼。
對於 MFA 驗證疲勞,筆者認為很多時候是使用者忽視了驗證帳戶之要求屬真屬假,故一眼看到系統發出要求,便輕易誤信並提交了驗證碼資料。要解決問題的核心,企業機構需要建構一個方案,既可省卻系統以驗證帳戶來核實使用者身分,同時亦可讓機構辨明使用者真偽。
筆者早前研發了名為 Network Signal(Wifi Pattern)的「網絡訊號認證方案」,正可解決此問題。
使用者可安裝 App,於首次開啟時,先掃瞄附近的訊息訊號,讓系統記錄員工常處的工作場所。以後使用者每次登入時,App 便會探測附近的訊息訊號,假若探測到的訊號有異,即代表登入者是在異處嘗試登入公司系統,有機會是外人登入,系統可即時提高限制,以防入侵。整個驗證,毋須要求使用者提供個人資料證明,這樣既可保障使用者個人私隱,亦可讓企業機構對黑客有更佳的提防。
面對不斷「升級」的黑客攻擊手段,企業機構絕對不宜輕視,應使用最有效的防護方案及模式,對員工的身分及資訊作出最大的保護。切忌把防止入侵的責任單單放在員工身上,那往往會是最容易被擊破的一環。
作者:隨賞科技有限公司(Compathnion Technology Limited)行政總裁陳智銓
