【管好自己人】入侵企業近半與員工疏忽有關　嚴控密碼阻帳戶外洩

雖則全球每日都在發生入侵企業事故，不過，其實很多時黑客並非通過搜尋 IT 漏洞達成任務，而是用更簡單的方法，例如花點時間騙取目標企業員工的帳戶登入資料，或索性用暴力破解（brute force）或密碼噴灑（password spraying）猜測帳戶密碼。

根據《2023 年 Verizon 數據洩漏調查報告》提及，在 2021 年 11 月至 2022 年 10 月期間發生的數據外洩事件中，有 83% 是外部人員所為，其中約有一半事件涉及憑證被盜，因此阻止員工外洩帳戶資料，仍是企業管理者要處理的重要問題。

社交工程屬今年五大網絡威脅之一

黑客如果是通過上述第一種方式取得企業帳戶的登入資料的話，主要是以社交工程攻擊騙取對方信任，社交工程攻擊的手法豐富多樣，而且亦屬於 2023 年五大網絡安全威脅之一。以往黑客或騙徒可能會借助詐騙電話或釣魚電郵達成目的，但隨著公眾安全意識提高，低層次手法已難成事，所以現在的網絡釣魚活動已演變為多渠道攻擊，而且涉及多個階段，除電郵外，攻擊者還使用短信和語音留言將受害者引導至惡意網站，新興手法還會配合 deepfake 人工智能假冒為目標人士的上司或親友提升可信度，例如香港警方在數月前便公布本地也有受害者上了人工智能的當，讓受害者更易交出帳戶登入資料。

雖然並非所有黑客都懂得用釣魚電郵或短訊，但由於現時有不少網絡釣魚即服務（PhaaS）供應商，黑客可以月費形式使用他們的客製化工具，以專門針對 Microsoft 365 帳戶的 W3LL 集團為例，他們推出的服務在過去一年曾成功入侵 8000 個使用 Microsoft 365 的商業帳戶，估計收入達 50 萬美元。而在 2022 年，專家估計暗網上出售的憑證超過 240 億份，比 2020 年有所增加。隨著釣魚電郵或短訊的整體水平都得以提升，企業管理者更難心存僥倖。

企業可考慮密碼管理及偵測工具

至於以暴力破解或密碼噴灑方式入侵帳戶，便與密碼管理有很大關係。要防止員工外洩帳戶登入密碼，企業管理者可考慮使用密碼管理及偵測工具，除了強制員工使用由英文字母、數字及符號結合而成的強密碼外，還可加入自定義字典去強化基礎保護，例如當系統發現員工使用資料庫內證實已外洩的密碼，或發現員工重複使用同一帳戶密碼，以及使用一些容易被猜測的字詞，便會要求員工重新提交新密碼組合，直至系統認定新密碼沒有任何問題為止。

另外，這些密碼管理及偵測工作還會持續搜尋網絡上的外洩數據資料庫，並添加到系統資料庫中，一有發現便可發短訊或電郵通知涉事員工，盡快重設密碼，提升帳戶安全程度。

資料來源：https://thehackernews.com/2023/11/how-hackers-phish-for-your-users.html