攻击者无需恶意程序即可大规模窃取用户凭据该漏洞(EAC)让美国损失了至少18.6亿美元,比2019年报告的损失增加了5%。BEC和EAC占美国报告的所有网络攻击损失的45%2020年,60岁以上的人占报告受害者的11%。粗略比较一下,迄今为止已知的最大勒索软件损失为4000万美元。2021Unit42勒索软件威胁报告发现,2020年勒索软件的平均勒索赎金为847,344美元,而受害者平均支付了312,493美元。2021年上半年,支付的平均赎金增加了82%,达到570,000美元。但是,这些平均赎金支付的数字是保守的,因为它们仅包括支付赎金造成的直接金钱损失。它还不包括与攻击期间运营的公司相关的损失,也不包括调查违规行为所花费的资源。所有这些攻击(BEC、EAC和勒索软件)都有一个共同点,即它们需要对目标网络或帐户的特权访问。对于大多数攻击者来说,伪装成合法用户或通讯员进入网络或帐户仍然是获得秘密访问的最简单方法,同时保持对具有平均或低于平均网络防御的目标的低检测风险。最经济的方法。通过使用合法凭证和公开可用的技术,恶意行为者可以“逃避防御,窃取和窃取网络中的各种信息”。虽然APT通过暴力凭证攻击成功地实现了他们的目标,但在许多情况下,攻击者只是要求不知情的受害者交出他们的安全凭证。电子邮件凭据盗窃的增长BEC/EAC攻击有利可图的性质促使攻击者不断修改和升级他们的攻击策略以绕过各种保护措施。其中一项新技术集成了鱼叉式网络钓鱼、自定义网页和复杂的云单点登录生态系统,以诱骗用户无意中泄露其凭据。一种流行的策略是使用看似良性的网页,这些网页一旦打开,就会非常模仿流行和常用服务的合法登录屏幕,例如:Dropbox在一份声明中说:“此活动与Dropbox的服务无关。这表明它依靠客户辨别真假越来越困难。当诈骗者使用这种策略时,他们通常首先发送一封诱饵电子邮件,诱使收件人打开附件或点击网页上的链接。电子邮件通常侧重于业务运营的某些部分(包括财务、人力资源、物流和一般办公室运营),并指向与需要用户操作的主题相关的附件或链接。这些主题包括汇款、发票、未付款项、报价请求(RFQ)、购买确认、发货状态、语音邮件或电子邮件传真等。为了使电子邮件看起来更合法,一些攻击者以有意义的方式包含有关目标的特定信息,包括在电子邮件的主题中。一些最近的电子邮件主题包括:打开后,电子邮件会向用户显示一个典型的登录页面。为了减少怀疑,攻击者经常以增强安全性为幌子要求用户退出帐户。在某些情况下,发送页面时已经包含了用户的电子邮件地址(再次尝试提高请求的合法性),并且只要求提供密码。这些误导性登录屏幕提醒您,例如:您需要通过电子邮件登录以确保您是受保护文件的合法收件人,邮件服务器的文件受“插入安全提供程序”保护;要阅读文档,请输入此文件发送到的有效电子邮件凭据;因为您正在访问敏感信息,所以需要您的密码;需要身份验证,因为您正在访问敏感信息;设备未被识别,出于安全目的,公司名称是真实的;您的邮箱账号(用户名)已经注销,请点击“确定”进行登录;请登录您的账户查看受保护的文件;您已经登出,请输入正确的邮箱地址和密码;通过Office登录,随时随地访问您的文档;您的密码对于查看传真消息是安全的。模拟微软的恶意登录请求示例,需要凭据才能访问文档模拟SharePoint的恶意登录请求示例,需要凭据才能访问文档模拟微软的恶意登录请求示例,需要凭据才能访问文档攻击者还添加了聪明进一步欺骗用户的策略。在某些情况下,他们会自定义构建“登录”模板,以匹配他们所针对的特定公司所使用的企业电子邮件系统的外观和感觉。在其他情况下,他们会根据用户电子邮件地址的域部分自动检测附属公司,然后将该公司的徽标整合到欺诈性网页中。从受害者的电子邮件地址识别组织然后将其徽标合并到后续页面的JavaScript示例。此外,许多攻击者正在他们的代码中添加逻辑以确保用户准确输入他们的凭据。格式错误的电子邮件地址或空白密码将生成错误,指示用户重试。攻击者还会自动以“密码错误,请重试”来响应第一次正确格式化的尝试。这些技术增加了攻击者收到有效密码的可能性,并可能减少谨慎用户的怀疑,他们可能首先输入虚假凭据以查看请求是否合法。用于验证凭据的JavaScript示例假设诈骗者认为他们让用户打开文件附件的机会太低,或者他们可以创建一个有点可信的完全限定域名。在这种情况下,他们还可以简单地将用户指向合法托管服务上的网站,其中上述技术全部包含在单个托管页面中。用户可能错误导航到的一些最近的恶意网站包括:在用户输入并提交凭据后,Web浏览器将HTTPpost请求中的信息发送到通常以*.php结尾的URL。作为超文本处理器,PHP使诈骗者可以轻松捕获任何收到的凭据,对其进行解码并将其存储在数据库中。此外,虽然攻击者可以购买和维护支持这些诈骗的Web域,但我们看到大量使用以前受损和整合的合法域来为这些诈骗者提供食物。这种对合法基础设施的恶意使用给网络防御者带来了两个挑战。首先,识别恶意流量很困难,因为它发生在两个可能受信任的网络之间。其次,一旦确定托管恶意活动,通常就不可能阻止合法域,因为它还会阻止该域的合法内容和通常需要的内容。由于这些原因,并且在零成本的情况下,黑客越来越依赖额外的基础设施来获得他们想要的东西。为了防止用户在无法登录虚假网站时起疑心,诈骗者通常采用以下方法:直接到他们的帐户,增加他们对请求合法性的感觉;“服务不可用错误”建议他们稍后再试;“找不到文件”错误;“扫描文件锁定”错误和“重定向回您的帐户”,然后再将用户重定向回他们的合法收件箱;通用内容;为网络钓鱼尝试定制的内容。一旦攻击者窃取了有效的用户凭据,他们就离诈骗公司或用户的资金更近了一步。攻击者将使用窃取的凭据对用户的文件、交易和通信进行初步侦察。有了这些信息,攻击者现在可以更好地了解:识别其他有价值的目标,了解正常的业务流程和批准链,利用用户的文档或共享文件访问权限来创建自定义网络钓鱼文档,以及让帐户用户将帐户用于经济利益或转移到更有利可图的环境。结论检测上述恶意策略对于企业或用户来说可能非常具有挑战性。此外,大多数网络安全产品通常不会自动将此活动检测为恶意活动,因为诈骗者在他们的诈骗中使用合法网页的精确副本,并且不包括特洛伊木马、间谍软件、键盘记录程序或其他恶意软件,并结合他们的窃取企图。Unit42研究人员建议采取以下措施来降低上述策略中电子邮件泄露的风险:对所有企业和个人帐户实施多因素身份验证;让用户了解BEC/个人EAC诈骗中使用的不断演变的策略和方法并接受培训;不要相信任何链接,始终验证;确保用户和管理员了解即使文件成功通过了病毒扫描,它仍然可能具有恶意目的;确保用户了解哪些服务是单点登录以及访问这些帐户的合法URL;定期更改密码,为每个帐户使用单独的复杂密码,并使用密码管理器来跟踪凭据。本文翻译自:https://unit42.paloaltonetworks.com/credential-harvesting/
