文/周峻佑 | 2025-02-10發表
隨著許多企業組織都採用多因素驗證(MFA)保護使用者帳號,駭客也試圖突破這類防護機制,其中一種最常見的手法是對手中間人攻擊(AiTM),如今也有攻擊者鎖定AD聯合身分驗證服務服務(ADFS)下手的情況。
資安業者Abnormal Security揭露大規模釣魚攻擊事故,至少有150個企業組織遭到鎖定,廣泛涵蓋教育、醫療保健、政府機關等各式產業,這些攻擊行動的共通點,就是歹徒透過AD聯合身分驗證服務服務來繞過多因素身分驗證。
值得留意的是,此次網路釣魚攻擊鎖定的目標,有超過半數(52.8%)是針對大學或其他教育機構,醫療保健及政府機關居次,分別占14.8%、12.5%。從這些受害組織的地理位置而言,大多數位於美國,但加拿大、澳洲、歐洲也有企業組織受害。
究竟駭客如何發動攻擊?Abnormal Security威脅情報暨平臺主管Piotr Wojtyla指出,攻擊者通常會假冒企業內部的IT團隊,聲稱資安政策調整或以系統改進為由,發送釣魚郵件,將使用者重新導向偽造的登錄網頁,該網頁仿造企業的ADFS入口網站。為了讓使用者降低警覺,駭客刻意複製了品牌及URL特徵。Piotr Wojtyla表示,駭客的手法充分利用了人類心理,用戶存取過往曾經看過的登入網頁往往不會起疑,即使具有高度資安意識的人士都有可能上當。
這起攻擊行動當中最特殊的地方,在於駭客繞過多因素驗證的手法相當複雜。Piotr Wojtyla指出,雖然駭客最終的目的是挾持Microsoft 365帳號,過程中卻收集各階段所有的身分驗證因子。
首先,攻擊者透過釣魚網頁取得目標人士的帳號及密碼,接著,釣魚網頁會根據目標企業組織導入的多因素驗證流程,要求使用者進行對應的驗證提示。
攻擊者將多因素驗證的進行分成繁瑣的步驟,假若受害者猶豫不決,釣魚網頁還會透過特殊的提示引導他們執行後續步驟,從而讓使用者以為在執行合法的登入流程。
一旦駭客成功挾持其中一個帳號,他們就會加以利用,作為進階攻擊的跳板。駭客會盜用這個帳號對同一組織的內部員工、合作夥伴,以及客戶下手,進行橫向網路釣魚。
此外,為了迴避偵測,駭客還會操縱電子郵件的政策,建立能過濾資安警報及網路釣魚警示的自動化規則,使得受害者難以察覺自己的帳號遭駭。在部分情況下,往來釣魚郵件在使用者發現前,就遭到攔截或是刪除。
線