隨著ChatGPT服務普及,企業數據上雲(move to cloud)的比例增加,雲端平台成為駭客的主要攻擊目標。
「根據最新的威脅洞察報告(Threat Horizons report),我們看到,雲端基礎設施最常受到的資安攻擊手法,是加密貨幣挖礦劫持。」Google雲端資安暨Mandiant亞太區首席技術總監Steve Ledzian表示。
所謂「加密貨幣挖礦劫持」(cryptojacking),或稱作非法挖礦、騎劫挖礦,意思是駭客通過盜取帳戶憑證,非法獲取訪問權限,進一步入侵受害者的雲端設備,並且在其中植入惡意軟體(即加密貨幣挖礦程式碼),以此劫持裝置的運算資源來挖掘加密貨幣。
類似的攻擊手法通常隱蔽性很強,受害者往往毫無察覺,可能的跡象只有設備運行變慢、裝置過熱,或者流量異常增高。
「這也是我們在今(2024)年觀察到的現象,攻擊者越來越注重隱匿行為,」Steve Ledzian指出:「他們試圖繞過偵測技術,例如端點偵測與回應系統(EDR),盡可能在網路中持續潛伏,然後針對企業的邊緣裝置、尚未被發現的漏洞(零日漏洞)發動攻擊。」
網路釣魚手法升級!駭客充當「中間人」,介入盜取機敏資訊
但首先的問題是,駭客如何偷取用戶憑證?
根據Google Cloud發布的《M-Trends 2024報告》,駭客如今越來越依賴社交工程手段來獲取用戶憑證,最常見的方法是網路釣魚(Phishing),利用電子郵件誘導使用者點擊惡意連結來騙取機密資訊。
而且網路釣魚攻擊手法早已經進化,新型的攻擊技術稱作「中間人攻擊(adversary-in-the-middle,AiTM)」,指駭客介入目標用戶與真實網站之間,部署代理伺服器(proxy server)來控制與窺探整個通訊過程,藉此掌控兩端互相傳遞的身分憑證和cookie。
中間人攻擊(AiTM)詐騙過程如下
步驟1:用戶點擊釣魚連結,進入一個模仿合法網站的登入頁面。
步驟2:用戶輸入其帳號和密碼後,系統可能會要求輸入MFA驗證碼。
步驟3:當用戶在該詐騙頁面上輸入MFA驗證碼時,驗證碼會被即時發送給攻擊者。
步驟4:攻擊者接收到MFA驗證碼後,可以立即利用該碼登錄合法網站,成功繞過MFA保護。
與傳統釣魚攻擊相比,AiTM的施行手法更為隱密,且更精準地模仿合法網站的登入畫面,同時規避多因素驗證(MFA)的安全防護,進而成功騙取使用者的敏感資訊,例如密碼、信用卡號碼或身分證號碼。
Google Cloud:採用CBA、FIDO提高資安防護
面對攻擊者不斷開發新手法來繞過MFA的保護,Google Cloud坦言,「目前還沒有一套通用的解決方案」,但建議逐步淘汰舊版MFA方法,例如手機簡訊認證,改採以下2項防禦措施:憑證式驗證(CBA)或者FIDO安全密鑰,以大幅減少網路釣魚攻擊風險。
憑證式驗證(CBA),指每位用戶會被分配到一個數位證書,其上方附有一把私鑰,用於驗證個人身份與所屬設備。
透過CBA,用戶完全不需要記住或輸入任何密碼,只需要交由系統自動處理並且登入網站。也因此,駭客不會輕易從中取得機密資訊。
FIDO同樣是一個線上快速認證身分機制的技術標準,目標是讓用戶在行動裝置上綁定個人資訊、信用卡,並完成生物特徵辨識,包含指紋、臉部識別、虹膜、甚至是聲音。等行動身分建立後,就可以直接利用綁定的裝置與生物辨識特徵登入帳戶。
FIDO意味著用戶不必再攜帶任何實體證件,也不用費時輸入帳號和密碼,就能快速通過身分認證,存在易用性(ease to use)的特點。而且理論上,FIDO的安全係數更高。
「許多人會擔心將資料存放在雲端的資安風險,」Steve Ledzian回應:「事實上,雲端環境比本地數據中心更安全,每家雲端服務提供商(GCPs)都投入大量資源來保護數據安全,遠遠超過一般組織的負擔能力。」
Google亞太區首席威脅情報顧問Yihao Lim(首圖右)補充:「以Google Cloud為例,我們有很多情資蒐集來源。」除了Mandiant的深度威脅情報資源,Google旗下還有一個惡意程式掃描平台——VirusTotal,鼓勵使用者上傳任何可疑的惡意程式,每天大約能收到200萬次的上傳請求,再加上Google瀏覽器(Chrome)全球超過50億的用戶基數,能迅速蒐集潛在的惡意網站資訊,反過來向用戶發出警告。
「只從企業資安的角度來看,上雲會是更好的選擇。」Steve Ledzian說。
責任編輯:李先泰
