假冒App引发的新网络钓鱼威胁
网络钓鱼(即假的,恶意的电子邮件)常常被人鄙视。在全球聚焦于网上的“零日漏洞攻击”(zero days)、网络“武器”和“动能”网络攻击的时候,网络钓鱼电子邮件似乎是过时、几乎是二流的概念。
然而,实际上,网络钓鱼仍然是全球企业和消费者面临的最大威胁之一。
而且情况将变得更糟。
5月3日,有100万Gmail用户收到自己的某个邮箱联系人发来的假冒谷歌文档分享请求并遭受攻击。从表面上看,可能这只是一封普通的钓鱼邮件,没什么大不了。其实这个骗局反映了犯罪黑客现在使用的一种复杂的新策略,这种策略将对全世界的企业产生重大影响。事实上,这种技术已被臭名昭著的俄罗斯黑客组织“兵风暴”(Pawn Storm,又名“奇幻熊”或“APT28”)所完善,该组织被指控攻击美国民主党全国委员会、希拉里·克林顿竞选活动和其他备受瞩目的目标。
以下是每个企业家需要了解的内容的快速概述。
为什么这次电子邮件诈骗影响重大?
这种名为“OAuth网络钓鱼”的攻击潜在地改变了传统网络钓鱼攻击,因为它很难被发现,修复困难并且很容易被黑客利用来劫持在线帐户。
它利用了被称为“开放授权”(OAuth)的互联网标准的严重弱点。世界上许多顶级在线服务供应商依赖于OAuth,包括谷歌、微软、雅虎、推特、脸书等。因此,即使企业试图阻止黑客利用OAuth特权的特定攻击——就像谷歌对5月3日谷歌文档诈骗所做的那样——并没有真正解决整体问题,而且类似的攻击可能会一次又一次地重演。
网络犯罪分子利用OAuth网络钓鱼来掌控员工电子邮件帐户,然后传播到其他帐户,例如银行、会计(工资单系统)、云存储、客户端网络登录等。即使受害者重置密码,黑客也能够留在帐户内。他们还可以绕过双重身份验证保护。
企业应该会在未来几个月和几年内看到一波OAuth网络钓鱼攻击。
什么是OAuth?
撇去各种术语,简单来说OAuth是一种让互联网用户无需共享密码即可将第三方应用添加到现有的在线服务(如谷歌、脸书和推特)的方式。取代密码的是,用户同意应用程序的(可能不止一项)权限请求,然后为其提供OAuth令牌,该令牌可用于访问用户帐户的全部或部分内容。
这里是一些热门服务的OAuth权限的例子。
这次攻击发生了什么?
OAuth的问题在于,服务供应商有时很难判断其生态系统中的app是否100%合法且安全。问题在于,如果黑客可以欺骗谷歌、雅虎、脸书、推特或其他服务接受恶意app,他可以利用这种信任关系并劫持个人帐户。
OAuth网络钓鱼的本质——欺骗服务供应商允许一个app,然后说服消费者授予其帐户访问权限。
黑客可能以安全警报、帐户更新或提供新服务的形式发送假冒的电子邮件通知,声称这些通知来自上面列出的服务供应商之一。如果用户点击接受此请求,将被重新转到服务供应商的真实网站(例如accounts.google.com或api.login.yahoo.com)以完成授权过程。请注意这与传统网络钓鱼的不同之处:受害者不会被重新转到假冒的URL,而是转到真实网站并在那里受到黑客攻击。普通人很难意识到自己上当。(想更好地了解这些假冒请求,请参阅趋势科技和CSO。)
一旦个人接受了恶意app的许可请求,黑客就会进入并且可能完全控制该帐户。由于OAuth令牌绕过了密码这一关,因此掉入这类网络钓鱼陷阱后重置密码是无济于事的。用户必须进入帐户设置并手动撤消该app的访问权限——但可能为时已晚。
以下是察觉此类黑客攻击的方法
虽然这是一种复杂的攻击,但有三个地方有迹可循。
首先,可疑的电子邮件地址。查看发件人的电子邮件是否指向不熟悉的域名。关键是要看看@符号之后的内容。例如,一个假冒Google应用使用了“no-reply.accounts.google@wpereview.org。”但是,黑客也可以冒充邮箱,使其看起来像是来自一家正常的公司,例如“services@google.com”。 “ 检查完整的电子邮件标题,确保它是真实的。黑客也可以做其他的漏洞。例如,在谷歌文档诈骗中,黑客将“hhhhhhhhhhhhhhhhh@mailinator.com”插入“To”字段,并且私密发送给实际收到这封电子邮件的人,这两者都是“死亡的赠品”。
接下来,检查电子邮件通知中使用的语言。有没有拼写或语法错误?看起来像不像母语非英语人士写的?
最后,app请求了多少访问权限?合法的应用程序会请求一些访问权限,例如用户的联系人或电子邮件地址,但是如果它要求“全部访问”或帐户的管理权限(例如:“查看和管理你的电子邮件”的权限),你的心里应该响起警报。幸好OAuth攻击无法隐藏黑客的权限请求,给了用户最后一次机会,在为时已晚之前刹车。
企业如何控制损失?
没有企业每次都能防范网络钓鱼攻击,特别是当它们像OAuth攻击一样先进时。因此,除防火墙、杀毒和电子邮件白名单等预防性安全措施外,制定良好的事件响应计划至关重要。
如果员工受到OAuth攻击,公司应立即撤销该假冒应用的访问权限,并检查黑客是否能够利用它进入任何其他帐户。检查链接到受攻击邮箱的每个帐户,并撤消任何权限请求,重置密码并在此后几个月密切监控这些帐户。对受影响员工的设备进行全面检查,查看是否安装了恶意软件或远程访问工具。最后,检查黑客是否通过被入侵的电子邮件帐户向其他员工发送了钓鱼邮件。
企业还需要防止某个员工过多地访问敏感信息、帐户或系统。对网络进行分段,以防止某个员工遭到攻击后黑客入侵或恶意软件在整个公司内传播。这两项措施都将限制任何成功攻击的潜在影响。
网络钓鱼攻击将在未来几年继续发展,因此企业必须制定一种深度防御方法,防控结合。