【管好自己人】入侵企業近半與員工疏忽有關 嚴控密碼阻帳戶外洩
雖則全球每日都在發生入侵企業事故,不過,其實很多時黑客並非通過搜尋 IT 漏洞達成任務,而是用更簡單的方法,例如花點時間騙取目標企業員工的帳戶登入資料,或索性用暴力破解(brute force)或密碼噴灑(password spraying)猜測帳戶密碼。
根據《2023 年 Verizon 數據洩漏調查報告》提及,在 2021 年 11 月至 2022 年 10 月期間發生的數據外洩事件中,有 83% 是外部人員所為,其中約有一半事件涉及憑證被盜,因此阻止員工外洩帳戶資料,仍是企業管理者要處理的重要問題。
社交工程屬今年五大網絡威脅之一
黑客如果是通過上述第一種方式取得企業帳戶的登入資料的話,主要是以社交工程攻擊騙取對方信任,社交工程攻擊的手法豐富多樣,而且亦屬於 2023 年五大網絡安全威脅之一。以往黑客或騙徒可能會借助詐騙電話或釣魚電郵達成目的,但隨著公眾安全意識提高,低層次手法已難成事,所以現在的網絡釣魚活動已演變為多渠道攻擊,而且涉及多個階段,除電郵外,攻擊者還使用短信和語音留言將受害者引導至惡意網站,新興手法還會配合 deepfake 人工智能假冒為目標人士的上司或親友提升可信度,例如香港警方在數月前便公布本地也有受害者上了人工智能的當,讓受害者更易交出帳戶登入資料。
雖然並非所有黑客都懂得用釣魚電郵或短訊,但由於現時有不少網絡釣魚即服務(PhaaS)供應商,黑客可以月費形式使用他們的客製化工具,以專門針對 Microsoft 365 帳戶的 W3LL 集團為例,他們推出的服務在過去一年曾成功入侵 8000 個使用 Microsoft 365 的商業帳戶,估計收入達 50 萬美元。而在 2022 年,專家估計暗網上出售的憑證超過 240 億份,比 2020 年有所增加。隨著釣魚電郵或短訊的整體水平都得以提升,企業管理者更難心存僥倖。
企業可考慮密碼管理及偵測工具
至於以暴力破解或密碼噴灑方式入侵帳戶,便與密碼管理有很大關係。要防止員工外洩帳戶登入密碼,企業管理者可考慮使用密碼管理及偵測工具,除了強制員工使用由英文字母、數字及符號結合而成的強密碼外,還可加入自定義字典去強化基礎保護,例如當系統發現員工使用資料庫內證實已外洩的密碼,或發現員工重複使用同一帳戶密碼,以及使用一些容易被猜測的字詞,便會要求員工重新提交新密碼組合,直至系統認定新密碼沒有任何問題為止。
另外,這些密碼管理及偵測工作還會持續搜尋網絡上的外洩數據資料庫,並添加到系統資料庫中,一有發現便可發短訊或電郵通知涉事員工,盡快重設密碼,提升帳戶安全程度。
資料來源:https://thehackernews.com/2023/11/how-hackers-phish-for-your-users.html