預防帳密竊盜的第一步是要了解竊盜如何發生。攻擊者用來竊取帳密的主要技術歸納有5種:社交工程、帳密釣魚和垃圾郵件、再使用竊得的密碼或共享帳密、暴力破解、安全問答的重覆使用。
密碼是大家熟知的傳統認證因子,資訊發展數十年來被廣泛用於確認人員身分。最初的密碼是以面對面的方式交換,其用意是為了確認人員不具有敵意或者屬於相同陣營。衛兵利用密碼防止敵人滲透軍營、黑市交易者使用暗號過濾身分等都是傳統應用的例子。
當密碼與使用者名稱結合,即成為數位時代下四處通行的認可憑證。幾乎任何線上查詢都會要求使用者建立身分認證,不論是電子郵件、銀行或信用卡帳戶、遊戲、串流服務、新的電冰箱或空調設備、甚至電動牙刷等,都需要帳號與密碼來確認身分。為確保安全,使用者需要為每個帳戶建立一組強大且獨特的密碼,並且經常變更並妥善保管,當然,獨特的帳號名稱也是被要求的重點之一,以免遭攻擊者竊用。
|
▲涉及帳密竊盜的主要威脅活動。 |
理論上,帳號與密碼登入已具有基本安全性,問題是,許多使用者帳號不容易記得,若不藉助特殊軟體,則難以建立和記憶強大而獨特的密碼。再者,由於密碼需要經常變換的結果,使用者也倍感困擾,尤其是當多數人都有超過5組以上的獨特帳密需要記憶時,就幾乎是一項不可能的任務。非但如此,應用程式和企業組織在密碼的妥善保管上面對許多問題,其結果讓我們的安全維護挑戰變得更加嚴峻。
英國Ofcom公司的「2016年成年人媒體使用狀態」報告指出,10個網際網路使用者當中有4個傾向於在多數網站使用相同密碼通行多數網站。實際上,這意謂著許多使用者以1或2組密碼作為線上服務的憑證。使用者對安全的意識明顯薄弱,無怪乎Verizon 2014年資料外洩調查報告(Data Breach Investigations Report,DBIR)指出,已證實的資料外洩事件當中有63%涉及帳密盜用,也就是說帳密盜用已是最常見的Web-App攻擊手法。
取得合法帳密即如入無人之境
惡意攻擊者不需要發動零時差攻擊或進階持續威脅(APT),即可搬空一個銀行帳戶、侵入網路或癱瘓一家公司,只需要拿到正確的帳密就可以達到目的。畢竟合法帳密是數位環境中的主要門票,不論使用該帳密的人是否為合法持有人或竊取帳密的任何人。
發動竊取帳密並不一定需要精深的技術能力,攻擊者甚至可以在地下論壇訂閱工具,例如鍵盤側錄器、木馬程式,或是直接購買販售中的帳密(許多情形下都是經過驗證可用的帳密),可能涵蓋各種想像得到的帳戶。
任何惡意滲透活動最關鍵的部分就是取得使用者合法帳密的能力。攻擊者在建立攻擊策略時,帳密往往是他們鎖定的目標之一,藉此作為攻擊生命週期內每個階段的網路入侵工具。美國國家安全局Tailored Access Operations(TAO)組長Rob Joyce在2016年1月的一項安全會議中公開表示,相較於利用零時差攻擊,盜用帳密是他們小組侵入網路的主要手段。
從許多公開報導的嚴重資料外洩事件可知,相較於零時差攻擊或APT,帳密竊盜已是最常見的案發原因,例如駭客如何在2014年入侵美國大型零售商Target與The Home Depot、2015年入侵美國人事管理室(Office of Personnel Management)。2016年出現更大規模資料外洩事件,受害者包括Dropbox、LinkedIn、Weebly、MySpace,單是其中一件就包含多家大型郵件服務供應商超過10億筆記錄。
|
▲帳密釣魚攻擊。 |
|
▲鍵盤側錄器攻擊。 |
由於重複使用相同帳密的情形非常普遍,因此Amazon採取主動預防措施,於發現使用者帳密遭竊時(那些帳密並非從Amazon竊取)即重設使用者密碼。再者,最近的Shamoon攻擊程式也是利用竊取的帳密入侵,在達到目的後抹除滲透軌跡。
雲端安全供應商Bitglass於2016年發布的研究報告,說明了遭竊的帳密非常快速地被駭客惡用。Bitglass研究人員以一家虛設銀行的虛設行員為名義新建Google Apps for Work誘餌,在Google Drive帳戶內儲存看似合法的檔案,內容包含虛設的信用卡資訊和工作資料,然後將該虛設行員的Google Drive帳密洩漏到地下論壇網站(假裝該行員遭受釣魚攻擊)。結果發現在24小時內,非僅誘餌銀行的入口網站和Google Drive遭到駭客存取,而且駭客也存取其他誘餌帳戶,包括誘餌社交媒體和個人銀行帳戶。
依照權限控管存取權已是普遍的作法,然而,如今多數交易都是採取虛擬方式進行,因此更難以偵測是否使用者就是本人或者冒充者。帳密竊盜問題長期以來的挑戰在於如何以技術方式偵測與阻止,本文探討帳密竊盜如何發生,以及實際可行的預防措施,希望藉此協助防範帳密竊盜。
5種竊取帳密資料的手法
預防帳密竊盜的第一步,即是了解事件發生的原因。攻擊者用來竊取帳密的手法可歸納為5種:社交工程、帳密釣魚和垃圾郵件、再使用竊得的密碼或共享帳密、暴力破解、安全問答的重複使用。詳細分述如下。
社交工程
牛津英文字典將社交工程定義為:利用詐騙手法誘使人們洩漏機密或個人資訊以便使用於詐欺目的。所有攻擊者都會利用社交工程,從駭客到犯罪者乃至於間諜。社交工程典型的手法是以電子郵件為媒介,在郵件主旨和內文誘使收件人點擊連結或是開啟附件。