據2018年電訊商Verizon的全球數據泄密報告,公共企業中百份之七十四入侵,都是從釣魚電郵(Phishing)攻擊手法開始。
黑客入侵得逞後,百份之六十一會再利用殭屍網路等工具,在受害人電腦上設置後門程式,方便日後登錄。這類手法商業間諜戰中經常見,目的是偷取對方的資料,常用的工具包括鍵盤記錄的複製,及密碼掃描器等等。無獨有偶,上週再有兩單新聞,是關於黑客使用釣魚電郵,成功地破解Gmail 及Yahoo!電郵等的雙重認證工具,入侵使用者的帳戶,並竊取重要的資料。
一般雙重認證手法,主要是客戶密碼之外,另上一組隨機生產數字,或可稱之為OTP (一次性密碼)。OTP亦只在短時間之內有效,通常一分鐘左右就失效,所以若黑客取得客戶密碼,同時沒法取得客戶OTP,或時限未到之前不能登錄,就不能成功入侵客戶帳號。
近十年,電腦上雙重認證,變得十分普遍。初階段使用,要加上額外的安全編碼器,主要是由大企業或銀行等機構使用。最近數年,智能手機流行,已可外掛上雙重認證程式,無需另外帶備儀器。另外,Yahoo及Google等企業亦提倡加強驗證及保密,同時提供了免費雙重認證軟件,如Google Authenticator 等。助企業讓員工或客戶登入網站,都可在本身的電腦密碼之上,加多一層保護。
現在Yahoo 或Google電郵用戶,登入一台新電腦,除了提供用戶密碼之外,有機會需要接收對方的SMS訊息,要加上新一組OTP密碼,才成功登錄賬戶。可是,上週兩間研究中心Certfa及Amnesty International發表報告,有證據Google 及Yahoo電郵用戶,使用了雙重認證仍被破解,結果電郵受到入侵並資料被盜。
其實,黑客攻擊一貫手法,仍是沿用釣魚電郵、加上虛假網站的設計。當受害人被誤導登入假網站之後,會被要求加強保安而要輸入從SMS發出的OTP。其實由對像登入假網站一刻,整個盜竊的流程已經被自動化,控制在短時間之內,複製受害人密碼,重新輸入正確網站賬號之中,最後再次複製OTP成功入侵受害人的電郵。據報這次受害者,集中在美洲、中東及非洲,特別是千多位維護人權份子的電郵,已受到入侵。
套用警訊節目中一句,騙徒手法「日新月異、層出不窮」,現在的釣魚郵件,越來越懂得捕捉受害人的心理。由去年看到的Google Doc 文件連接,及Netflix 的服務表格,至最近流行Apple Store 賬單,黑客會利用一些流行產品或服務,再發出虛假的資料,用戶偶一不慎,便會中計按下假網站連結,或更不幸奉上寶貴資料。
近年流行IT 流程自動化,關於Dev Op講座亦大行其道,想不到黑客入侵操作亦變得自動化。本來萬無一失雙重認證,使用自動化流程縮短入侵過程,包括成功複製OTP駭入對方賬戶。
所以讀者處理外來電郵,應該更加審慎。近年,不少企業開始內部電郵安全保安訓練,除了商業電郵外,私人郵件亦不容忽視,否則便會後悔莫及。
作者 :梁定康,網絡工程師,專門負責網絡設計及保安工作