網絡安全2023】網絡身份攻擊近年備受攻擊,當中香港釣魚網站事件按季激升90%!香港電腦保安事故協調中心(HKCERT)指出身份攻擊不僅釣魚,還有另外四款手法。同時於AiTM中更會仿製Facebook登入專頁,再用網絡釣魚軟件登入受害者帳戶及進行詐騙。機構薦8個用戶保安建議

網絡安全2023|身份認證解說

了解身份攻擊前,先介紹何為身份認證。HKCERT指身份認證是驗證瀏覽資訊或服務權限的授權過程,用以驗證並確保用戶有權瀏覽相關內容。

最常見例子是使用用戶名和密碼登錄,指紋或面部亦是用作識別用戶身份方法之一。

網絡安全2023|身份攻擊可透過攻擊偷取密碼等資料

那麼身份攻擊即是針對身份認證進行的攻擊,透過賬戶或憑證作為攻擊途徑偷取:

  • 密碼
  • 密鑰 (Key)
  • 會話令牌(Session Token)
  • 用戶帳戶信息;及
  • 其他詳細信息以假冒用戶身份。

網絡安全2023|較高權限的身份認證被偷更會致重大損失

HKCERT指出,假如一個組織中較高權限身份認證被盜取,更可被利用作不同的惡意行為,好像分發勒索軟件或入侵系統偷取機密文件等,終導致重大損失。

網絡安全2023|香港釣魚網站事件按季激升90%

HKCERT於《香港保安觀察報告》季度報告指出,香港的釣魚網站事件去年(2022年)第四季首次錄得逾一萬宗,按季激升90%。機構指網絡釣魚為近年常見的身份攻擊手法之一。

機構分析認為該類攻擊激增可歸於開源網絡釣魚軟件包氾濫,另預計未來仍會是一個主要網絡安全威脅。

網絡安全2023|5大身份攻擊手法一覽 1. 中間人攻擊(AiTM)釣魚

中間人攻擊(AiTM)釣魚 - 犯罪分子會用電郵、SMS簡訊等方法與官方網站相似的釣魚網站連結發出,誘騙登入。

接著他們再以釣魚網站於受害人與官方網站中間代理登入請求。成功驗證後犯罪分子會把受害人載入官方網站繼續使用服務,他們便在後台成功偷取賬號資料及Session Cookies,從而用作不法行為。

網絡安全2023|AiTM捕獲Facebook賬戶例子

HKCERT列舉AiTM捕獲Facebook賬戶例子指出:

  1. 不法分子會仿製假Facebook登入專頁以偷取帳戶資料,再使用開源網絡釣魚軟件包仿製及利用「誤植域名」讓專頁像真度提升
  2. 接著一旦有受害人於該假登入頁面輸入帳戶資料及進行多重要素驗證,不法分子便可於後台獲得帳戶資料及Session Cookies。
  3. 再利用其資料登入受害人帳戶
  4. 並聯絡受害人朋友進行如金錢上的詐騙

網絡安全2023|5大身份攻擊手法一覽 2. 多重要素驗證 (MFA) 疲勞攻擊

透過不同渠道,例如外洩的資料或「暴力破解法」,不斷測試可能的密碼組合,從而找出賬號密碼。

接著不法分子會不斷發出身份驗證確認訊息,利用疲勞轟炸受害者,直至其屈服或不小心按下同意。

網絡安全2023|5大身份攻擊手法一覽 3. 偽裝廣告

不法分子會利用Google平台廣告功能,將惡意網站置頂,誤導用戶相信惡意網站為正常網站。

該些惡意網站更可能會誘使下載安裝惡意程式或作AiTM釣魚。

網絡安全2023|5大身份攻擊手法一覽 4. OAuth釣魚攻擊

不法分子誘騙受害者授權限予惡意程式,允許程式利用OAuth 2.0協議訪問帳戶詳細信息並執行操作。

HKCERT指出,當惡意程式取得權限後便可隨時訪問用戶數據。對此原來Microsoft亦曾發出警告,呼籲O365用戶小心這類型授權。

網絡安全2023|5大身份攻擊手法一覽 5. 社交工程攻擊

不不法分子利用人的心理弱點進行欺詐,例如會查看社交媒體的內容,透過了解受害者背景,冒充他們的朋友或熟人,從而騙取受害者的個人資料再繼而進行不法行為。

網絡安全2023|8大保安建議

HKCERT提醒,隨著技術發展攻擊手法只會愈來愈多樣化,呼籲要小心使用網上服務以防止個人資料或帳號被盜用。與此同時亦提出8大保安建議:

  1. 切勿假設使用HTTPS 協定網站是絕對真實可信
  2. 切勿假設搜索引擎搜尋結果顯示的全都是合法網站
  3. 小心檢查網址串法,核實網站真偽
  4. 收到可疑電子郵件或SMS簡訊時,切勿打開任何連結或附件;可利用「CyberDefender守網者」的「防騙視伏器」檢查電郵地址、網址和IP地址等,以辨識詐騙及網絡陷阱
  5. 向任何人或機構提供個人資料前要小心考慮
  6. 使用更高規格的認證技術,例如硬件FIDO (Fast IDentity Online) 免密碼登入認證
  7. 避免於不同平台或服務使用相同賬號及密碼;及
  8. 使用網上服務後謹記登出及關閉瀏覽器

更多網絡安全相關文章

按此免費訂閱《香港財經時報》HKBT 新聞快訊