在一次协同攻击中,为移民、税收、养老金和福利提供重要服务的加拿大政府网站被盗,攻击者旨在窃取COVID-19救助基金.最近,加拿大政府宣布了紧急响应福利(CERB)作为国家COVID-19救济的一部分。该福利为符合条件的居民提供高达2,000的经济援助。从CERB网站可以看出,通过使用GCKey的“CanadaMyServices”账户以某种方式回答筛选问题即可进入系统。一名受影响的居民表示,诈骗者设法代他提取了10,000,并将资金转移到其他账户。在线门户网站GCKey是一个单点登录(SSO)系统,公众可以使用该系统访问各种加拿大政府服务。此外,GCKey还充当用户登录加拿大税务局(CRA)系统的备用访问途径。上周末,加拿大政府首席信息办公室发布了一份声明,提醒公众警惕对GCKey系统的网络攻击。据称,攻击者使用“凭据填充”技术设法访问了9,041个GCKey帐户(总共1200万个帐户)。凭据填充攻击是攻击者尝试破解先前泄露的用户名-密码组合以攻击另一个网站以试图找到共享相同凭据的帐户的一种自动化方式。这就是为什么安全专家强烈建议不要在不同的网站上使用相同的用户名和密码组合。因为如果一个网站遭到破坏,其他网站帐户也将面临风险。政府声明说,一旦发现威胁,受影响的GCKey账户就会被取消。有关部门正在联系账户被撤销的用户,帮助他们开设新的GCKey账户。声明称,GCKey攻击和最近针对CRA的另一次“凭证填充”攻击针对的是大约5,500个CRA账户。经常访问加拿大政府网站的人会熟悉提供多种登录方式的网站。例如,CanadaMyServices允许通过GCKey、银行或省级账户访问账户。同样,加拿大税务局(CRA)允许通过GCKey或CRA帐户登录。当访问某些部门(如CRA或IRCC)时,GCKey不会在工作流中启用多因素身份验证。当从新电脑登录时,系统会询问用户一个安全验证问题(比如宠物的名字),但是并没有提示用户输入2FA码的机制,例如通过发送2FA码短信(SMS)。在测试中,没有发现使用安全验证码,这可能允许机器人自动填充凭据。缺少多因素身份验证意味着攻击者可以通过凭据填充或身份盗窃来访问受害者的GCKey或CRA帐户,从而实现敏感的政府交易。虽然多条访问路径为公民提供了便利,但它们也扩大了攻击者可以掠夺的攻击面。剥削链中最薄弱的环节,可能对每个人造成毁灭性后果。参考资料来源:加拿大遭受用于窃取COVID-19救济金的网络攻击
