【網絡安全】雲端安全解決方案供應商Barracuda發表最新一份威脅聚焦報告,指黑客成功入侵電郵帳戶後,可濫用收件匣規則以逃避偵測,同時透過被入侵的收件匣,將信息悄悄移出企業網絡。除此之外,這類攻擊還可令受害者看不到安全警告,將指定郵件存儲在鮮為人知的文件夾內,令受害者不易找到,而黑客亦可假扮資深行政人員,藉要求刪除訊息以勒索金錢。
網絡安全|黑客新招入侵電郵勒索
Barracuda電郵保護產品管理經理Prebh Dev Singh表示:「濫用電郵收件匣規則是一種非常有效的攻擊策略,攻擊可隱蔽進行之餘,一旦黑客入侵帳戶後便容易實行。儘管多年來電郵偵測已經取得進展,並且機器學習的使用令可疑的規則創建更易被發現,但我們的偵測數據顯示,攻擊者仍成功使用這種技術。惡意規則的創建嚴重威脅機構的數據和資產完整性。這種後入侵技術表明公司已經遭到攻擊者入侵網絡,並要立即採取行動將其清除。」
拆解黑客以電郵收件匣規則漏洞犯罪4招
一旦黑客成功入侵受害者的電郵帳戶,例如通過釣魚攻擊或盜竊得來的憑證,他們可以設置一個或多個自動化電郵規則,令他們可以隱秘而持久地訪問郵箱,並用於各種惡意目的,包括:
盜取訊息或金錢
- 盜取訊息或金錢,並延遲偵測。攻擊者或會設立一個規則,將包含敏感且有可能帶來利潤關鍵詞(如「付款」,「發票」或「機密」)的所有郵件轉發到外部地址。
- 通過將此類郵件移至甚少使用的文件夾,標記為已讀或直接刪除,隱藏特定的入站郵件,例如安全警報或指揮及控制通訊。
監視受害者的活動
- 監視受害者的活動,並收集有關受害者或其機構的情報,以用於進一步的利用或操作。
- 針對商業電郵騙案(BEC)攻擊設置一個規則,刪除特定同事的所有收件,例如首席財務官(CFO)。黑客可以藉這類攻擊假扮CFO,向同事發送假電郵,讓他們將公司資金轉到黑客控制的銀行帳戶中。
5項防禦措施
如果惡意規則未被發現及移除,即使受害者更改密碼、
1. 預防
最有效的保護是預防,機構應從一開始便阻止黑客入侵帳戶。
2. 有效的偵測和回應事件措施
以識別遭受入侵的帳戶並減輕影響。這包括完全了解每個員工收件匣中正在進行的每個操作、創建的規則、修改或訪問的內容、用戶的登入記錄、已發送郵件的時間、地點和內容等等。
3.人工智能的保護措施
基於人工智能的保護措施,會使用這些數據為每個用戶創建智能帳戶配置文件 – 任何細微的異常情況都會立即被標記並引起關注。
4. 識別帳戶是否已受到接管攻擊
冒充保護使用多種信號,以識別帳戶是否已受到接管攻擊,如登錄數據、郵件數據和統計模型以及規則等。
5. 跨層級偵測與回應(XDR)措施
最後,利用跨層級偵測與回應(XDR)措施,包括由安全營運中心(SOC)提供的全天候監控,即使是深度隱藏和模糊的活動,也能被發現和消除。
