【有殺錯無放過】黑客借企業員工帳戶碌點數卡 支線任務狂偷財務文件
勒索軟件近期成為傳媒報導焦點,不過,黑客的攻擊手段又豈止一種?如果說勒索軟件是大茶飯,那麼偷用帳戶買點數卡就只算賺零錢。不過,Sophos最近阻止的一宗零錢個案,都睇得出黑客入侵公司網絡,還有更多支線任務。
睇過不少網絡攻擊事故,能否及早阻止黑客入侵,好視乎負責監管網絡活動的人的安全意識,就算安裝了SIEM (Security Information and Event Management) 工具,如果安全專家看不出系統偵測的事件有異常,黑客一樣可以乘虛而入。而今次 Sophos Rapid Response Team 的一個系統管理者在協助客戶監管網絡連線時,就因為發現了該公司其中一些帳戶活動有可疑,突然出現重設帳戶密碼要求,而他並沒有重設密碼後就完事,而是深入追查該重設指示發出的原因,才能識破正有黑客入侵網絡,於是即時隔離被入侵的帳戶,將黑客掃出門外。
入侵事件發生原因,Sophos 專家認為跟 VPN 不設雙重因素驗證 (2FA) 有極大關係,黑客只須取得其中一個員工的帳戶密碼便能順利登入,然後搜尋該員工的電腦上網記錄,查看未有登出哪些帳戶,例如網購平台、電郵等,如網購平台已綑綁了信用卡,黑客便可直接用來購買點數卡;否則亦可查看有使用哪些帳戶,再以未登出的電郵帳戶接收重設密碼通知,奪取使用權。除了攻擊本機電腦,黑客還可透過遙距桌面協議 (RDP),進入其他員工的電腦重複上述動作,隨時山大斬埋有柴。
經調查後,Sophos 專家指出黑客最終只購買了 800 美元點數卡,但因及早發現,所以黑客仍未完成付款手續,結果無功而還。不過,專家指黑客的主線任務雖然是買點數卡,但入侵後還安裝了搜尋軟件,自動掃描公司網絡內存在的一些財務文件,絕不放過任何機會。
要阻止這次入侵發生,除了要有一個醒目的系統管理員,專家建議企業必須保持作業系統及其他應用軟件在最新版本,加設 2FA 驗證,勸籲員工每次都要登出帳戶,同時不能放過任何可疑活動,因為黑客不單會由外部引入惡意軟件,還會藉著電腦內的PowerShell命令介面執行「離地攻擊」(Living off the land),避過防毒軟件偵測。