Finews
台灣最好懂得財經、科技新聞網!
帶給你最有用的新聞資訊。
“`html
資安防線告急:思科語音釣魚事件揭露企業數位韌性新挑戰
近期,全球知名的網路設備巨頭思科(Cisco)證實其網路遭受了一次精心策劃的語音釣魚(vishing)攻擊,駭客甚至成功繞過了許多企業賴以為生的多因素驗證(MFA)機制,竊取了部分公司檔案。這起事件不僅突顯了社交工程手法的日益複雜性,更揭示了企業在數位轉型浪潮下,面對網路威脅時多因素驗證機制可能存在的盲點,以及供應鏈資安風險的蔓延趨勢。到底這次攻擊是如何發生的?又給我們帶來了哪些重要的資安啟示呢?本文將帶您深入了解。
多因素驗證非萬靈丹?思科如何遭駭客突破防線
你或許會問,許多企業都已經導入了多因素驗證(MFA)來提高安全性,駭客怎麼還能得手?這正是這次思科事件最令人警惕的地方。攻擊者利用了一種高明的手法:語音釣魚(vishing)結合「多因素驗證疲勞轟炸」。
想像一下,你在半夜或休假中不斷收到公司系統要求輸入多因素驗證碼的通知,是不是會感到疲憊甚至不耐煩?駭客就是利用這種心理,持續向受害者推送MFA通知,直到受害者不勝其擾,誤點或誤操作,接受了惡意推送。一旦員工接受了惡意通知,駭客就成功繞過多因素驗證,取得初始存取權。
這起攻擊的開端更具巧思。駭客首先入侵了思科員工的個人Google帳戶。為什麼個人帳戶會成為突破口?因為許多員工在個人裝置上同時處理公務,導致個人Google帳戶同步了Chrome瀏覽器中儲存的公司憑證。駭客藉由這些憑證,取得了進入思科企業內部的初步權限。在取得初始存取權後,攻擊者進一步註冊了多個新設備進行多因素驗證,並成功登入思科的虛擬私人網路(VPN),為後續的內部橫向移動鋪平了道路。
小知識:什麼是語音釣魚(Vishing)?
語音釣魚(Voice Phishing, Vishing)是一種社交工程(social engineering)攻擊手法,駭客透過電話或語音訊息來詐騙受害者,誘使他們洩漏敏感資訊,例如信用卡號碼、銀行帳戶資訊、或是多因素驗證碼。與傳統的釣魚郵件不同,語音釣魚利用語音的即時性和欺騙性,讓受害者更難以辨識詐騙行為。
駭客經濟學轉型:從「初始存取代理」看網路犯罪新模式
思科在事件調查中指出,這次的威脅行為者很可能是一個「初始存取代理(Initial Access Broker, IAB)」。你或許會好奇,IAB是什麼?簡單來說,這些駭客組織並不直接進行勒索或竊取大量數據牟利,而是專門從事「獲取企業網路的初始存取權限」業務,然後再將這些權限在暗網上販售給其他更高階的網路犯罪集團,例如勒索軟體幫派。
這次攻擊的幕後黑手,思科認為與著名的Yanluowang勒索軟體幫派、UNC2447網路犯罪集團以及惡名昭彰的Lapsus$威脅行為者組織都有關聯。這顯示了當前網路犯罪生態系的一種新趨勢:分工合作,形成一個更有效率的「駭客經濟學」。IAB就像是供應鏈中的「開路先鋒」,負責打開企業大門,而其他團體則負責後續的資料竊取、勒索或部署惡意軟體。
攻擊者在這次事件中部署了多種遠端存取和攻擊工具,包括:
- LogMeIn 和 TeamViewer:用於遠端桌面存取。
- Cobalt Strike:一種廣泛用於滲透測試,但也常被駭客濫用的紅隊工具,用於橫向移動和特權提升。
- Mimikatz:用於從記憶體中提取密碼、哈希、PIN碼和Kerberos票證。
- PowerSploit 和 Impacket:用於執行更進階的後滲透活動,如網路偵察、權限擴張等。
此外,駭客們還利用了以下技術來強化他們的攻擊效果:
- 魚叉式攻擊(Spear Phishing): 針對特定個人或組織的精準攻擊,增加被攻擊者上當的可能性。
- 零日漏洞利用: 利用尚未被公開或修補的漏洞,迅速突破防禦系統。
- 多階段攻擊: 將攻擊分為多個階段,逐步滲透到目標網絡的核心。
供應鏈風險加劇:科技公司成為駭客的高價值目標
你或許會問,為什麼像思科這樣的科技巨頭,會成為駭客的目標?答案其實很簡單:因為技術公司日益成為供應鏈攻擊的常見目標。這些公司通常擁有對其企業或政府客戶網路的特權存取權限,駭客一旦攻破一家科技公司,就能為他們打開進入其客戶網路的途徑,如同「一箭雙鵰」。
資安專家指出,駭客對科技廠商的攻擊目的多元,不僅是為了勒索,也可能為了獲取威脅情報,或是利用其產品的漏洞進行攻擊。這對整個產業鏈來說,無疑是一個巨大的隱憂,因為供應鏈中的任何一個薄弱環節,都可能成為引發大規模資安事件的導火線。
不只思科,另一個名為UNC6040的駭客群體,也專門透過語音釣魚鎖定Salesforce環境。他們偽裝成IT支援人員,誘騙員工安裝惡意應用程式(例如偽裝成Salesforce Data Loader的軟體)以竊取敏感數據。這再次凸顯了語音釣魚手法對各行業的普遍威脅,不論是金融、科技還是服務業,都可能成為受害者。
讓我們來看看思科事件與針對Salesforce攻擊手法的比較:
| 攻擊事件 | 主要目標 | 初始入侵手法 | 目的 | 主要影響 |
|---|---|---|---|---|
| 思科資料外洩 | 思科企業內部網路 | 語音釣魚 + MFA疲勞轟炸 + 個人Google帳戶憑證同步 | 資料竊取、潛在勒索(預勒索活動) | 部分非敏感檔案外洩 |
| UNC6040針對Salesforce | Salesforce環境(企業客戶) | 語音釣魚 + 偽裝IT支援 + 誘騙安裝惡意應用程式 | 竊取敏感數據 | 可能導致數據丟失、法規遵循問題 |
強化數位韌性:企業面對複雜威脅的實戰防禦策略
面對日益複雜且隱蔽的網路攻擊,企業應該如何自保呢?思科事件為我們提供了寶貴的經驗,以下是一些你可以考慮的前瞻性防禦策略:
- 加強員工資安意識訓練: 這是最基礎也最關鍵的一環。企業應定期對員工進行社交工程戰術的教育訓練,明確告知IT部門絕不會透過電話要求安裝或授權應用程式,提高員工對可疑行為的警覺性。
- 實施嚴格的應用程式授權政策: 企業應監控異常的應用程式授權行為,並實施最小權限原則,確保員工只擁有執行工作所需的最低限度權限。
- 導入行為分析與監控: 利用行為分析工具,監控使用者和設備的異常行為模式。例如,如果一個員工突然從從未登入過的國家或設備登入,或是在非工作時間大量存取檔案,系統應該能即時發出警報。
- 推動零信任模型(Zero Trust Model): 零信任的核心理念是「永不信任,始終驗證」。即使使用者或設備位於內部網路,每次存取資源都需要進行驗證。這有助於限制駭客在內部網路中的橫向移動。
- 強化身份基礎設施: 強制執行防網路釣魚的多因素驗證(例如硬體安全金鑰),而非僅依賴基於簡訊或App推送的MFA,這些更容易被繞過。同時,限制管理工具的存取權限,並對特權帳戶進行更嚴格的監控。
此外,為了進一步提升數位韌性,企業還應考慮以下策略:
- 定期進行資安審核與滲透測試: 透過專業的資安團隊定期檢視系統漏洞,並模擬攻擊場景,提前發現並修補安全缺口。
- 建立跨部門的資安應變小組: 資安威脅往往涉及多個部門,建立一個跨部門的應變小組能夠迅速協調資源,有效應對突發事件。
- 投資先進的威脅偵測技術: 採用人工智慧和機器學習技術,提升威脅偵測的準確性和即時性,讓企業能夠更快地反應並處理潛在威脅。
結語:資安警鐘再響,共築堅實防線
思科這次的資料外洩事件,無疑再次敲響了企業資安的警鐘。這提醒我們,當前網路犯罪集團的動機更加多元,手法也日益高明,他們不再僅僅滿足於單純的勒索,更可能轉向販售初始存取權,或是針對供應鏈中的關鍵節點進行攻擊,導致更廣泛的風險蔓延。
面對這變動不居的網路威脅環境,企業不能僅依賴單一的技術防禦,而必須構築一個技術與人為因素並重的多層次防禦體系。從持續教育員工,提升他們的資安意識,到強化技術控制,導入零信任架構,再到建立完善的應變機制,持續提升數位韌性將是企業在確保業務永續發展的鍵。
請注意:本文僅為資訊性與教育性說明,不構成任何投資建議。讀者在進行任何投資決策前,應尋求專業的財務顧問建議。
常見問題(FAQ)
Q:什麼是語音釣魚(Vishing)攻擊?
A:語音釣魚是一種通過電話或語音訊息詐騙的手法,旨在誘使受害者洩漏敏感資訊,如銀行帳戶或多因素驗證碼。
Q:多因素驗證(MFA)如何被駭客突破?
A:駭客可能通過不斷推送MFA驗證請求,造成使用者疲勞並誤操作,從而繞過MFA保護。
Q:企業應如何加強對供應鏈的資安防護?
A:企業應實施零信任模型、定期進行資安審核、加強員工培訓,以及監控供應鏈中的每個環節以確保整體安全。
“`
