【遇強愈強】瞄準安全意識盲點 黑客狂攻2FA安全驗證
為了加強帳戶的安全性,不少雲端應用服務供應商都會強制用家使用雙重因素驗證(2FA)功能,例如通過接收 SMS 或電郵接收額外的驗證碼,才能登入帳戶。雖然有 2FA 保護,不過用家都不能夠掉以輕心,特別是應用服務供應商的管理員,由於擁有極高的帳戶權限,就算要克服極大難關,黑客也會持續挑戰。
例如最近安全服務供應商 Cyberhaven 的員工就成為釣魚電郵的受害者,帳戶遭受黑客騎刧,繼而利用帳戶權限發佈暗藏惡意功能的 Chrome 擴充工具更新檔,導致 40 萬企業客戶置身危機之中。
針對 Google Chrome 瀏覽器擴充工具攻擊增加
在剛過去的聖誕節,不少網絡安全機構發現針對 Google Chrome 瀏覽器擴充工具的攻擊明顯增加,專家指出這些攻擊的目標旨在竊取用家的 Google 帳戶登入 sessions token,以便繞過 Google 的 2FA 安全驗證系統,顯示出這種攻擊方式變得愈來愈普及。
其中一個遭受攻擊的目標是專門提供網絡流量監控服務的安全機構 Cyberhaven,官方指他們在 12 月 25 日晚上發現其中一個員工的 Google 帳戶在 12 月 24 日遭受盜用,令攻擊者可以登入公司的 Google Chrome Web Store 帳戶,並將含有惡意功能的虛假擴充工具上載。
雖然公司已第一時間移除這個惡意擴充工具,但實際上它已存在 web store 接近一天,有可能影響到近 40 萬的企業客戶。經調查後,官方指這次攻擊的起點是黑客將釣魚電郵發送給他們的員工,成功誘導對方輸入帳戶登入憑證及攔截了登入帳戶的 sessions token,黑客之後便毋須再通過 2FA 驗證,隨時登入帳戶並發佈虛假更新檔。
Office 365 2FA 驗證系統存嚴重安全漏洞
除了 Google 帳戶特別受黑客青睞,Microsoft 的企業帳戶同樣受到黑客關注,只要一不小心,安全漏洞就有可能被黑客發掘出來。以去年 6 月 Microsoft 公佈的 2FA 漏洞為例,當時網絡安全機構 Oasis Security 的專家便發現了其 Office 365 的 2FA 驗證系統存在極嚴重的安全漏洞。
一般來說,Office 365 用家只能有十次機會輸入收到的 2FA 驗證碼,如連續出錯便會啟動額外的驗證要求,不過專家發現這種安全機制只適用於未曾成功登入帳戶的用家,但只要黑客通過釣魚電郵成功引誘用家透過其釣魚網頁登入帳戶,並讓他們成功攔截登入帳戶的 sessions token,黑客便可不受限制地嘗試登入帳戶。
除了可以突破十次限制,就算不停出錯,安全系統也不會向用家發出可疑警報通知,由於驗證碼只是一組 6 位數數字組合,因此專家推算黑客只需一小時便可破解驗證碼。這種在安全考慮上的漏洞雖然未必會被輕易發現,但以 Microsoft 擁有約 4 億付費用家的科技公司來說,後果實在難以想像。
