山海科技发展网

07月25日攻击者使用旧版IMAP协议绕过云帐户中的多因素身份验证,从而导致内部网络钓鱼和BEC

导读 摘要 基于云的应用程序的威胁日益增加,而密码(用于保护帐户的传统方法)通常已不足以保护用户免受潜在威胁的侵害。 对基于云的应...

摘要 基于云的应用程序的威胁日益增加,而密码(用于保护帐户的传统方法)通常已不足以保护用户免受潜在威胁的侵害。 对基于云的应用程序

基于云的应用程序的威胁日益增加,而密码(用于保护帐户的传统方法)通常已不足以保护用户免受潜在威胁的侵害。 对基于云的应用程序中更全面的安全性的需求导致供应商提供多因素身份验证(MFA)作为其产品和服务的不可或缺的功能。 通过使用MFA,用户可以通过在多台设备上分散身份验证来限制攻击者获得其帐户控制权的风险。

但是,尽管MFA为保护帐户访问权限提供了额外的安全保护层,但这并不是一个简单的功能。 例如,最近来自Proofpoint的一项研究检查了针对主要云服务中用户帐户的暴力攻击。 据报道,这些攻击利用了传统的电子邮件协议,网络钓鱼和凭据转储来绕过MFA。

值得注意的是,攻击者能够滥用传统协议(最常见的是IMAP身份验证协议)来绕过多因素身份验证。 该研究指出,在某些情况下(例如,当用户使用不具有现代身份验证支持的第三方电子邮件客户端时),可能会滥用IMAP协议。 在其他两种情况下,也可能会发生IMAP滥用:目标未实现应用程序密码,以及针对未阻止IMAP和/或无法使用MFA的共享电子邮件帐户进行IMAP滥用的情况。 该报告还说,这些攻击通常不会被发现,而是看起来像是登录失败而不是外部尝试。 威胁参与者使用这些帐户作为系统的入口点,然后通过内部网络钓鱼和BEC进行横向移动,以扩大其在组织内部的影响力。

为期六个月的研究发现,超过72%的云租户至少一次受到攻击者的攻击,而40%的云租户在其系统中至少有一个受感染的帐户。 更令人担忧的是,每10,000个活动用户帐户中有15个被成功突破。 被劫持的服务器和路由器被用作主要攻击平台,网络设备在50天内每2.5天获得大约一个新租户的访问权限。

参与该研究的大约60%的使用Microsoft Office 365和G Suite的租户通过IMAP受到了密码喷雾攻击的攻击,而25%的受害者是成功违反该规则的受害者。

随着各行各业越来越多的公司采用基于云的服务,预计网络分子将追逐基于云的平台。 一旦帐户遭到入侵,无论是通过黑客手段还是蛮力手段,该帐户都可用于与管理人员及其员工进行沟通。 内部BEC电子邮件可能会诱使目标转移资金,个人或公司数据或下载恶意文件。 例如,发现受损的电子邮件帐户在回复电子邮件线程以传递恶意软件。 鉴于这些BEC尝试来自合法(尽管遭到入侵)电子邮件帐户,因此可能很难检测到。

诸如MFA之类的功能只是有效的多层安全性实现的一部分。 希望提高安全性的组织可以从以下最佳实践开始: 密码仍然是多因素身份验证的组成部分。 确保用户使用的密码强度高且要定期更改,以防止受到暴力攻击。 这可能意味着包括至少使用12个字符,并混合使用大小写字母,数字和特殊字符。 要求用户避免使用常见或容易猜到的密码,或者避免使用显示明显信息(例如名称或生日)的密码。 对员工进行有关如何识别网络钓鱼攻击的教育。 电子邮件是网络钓鱼尝试的常见指示器包括外观可疑的电子邮件地址以及拼写错误和印刷错误。 此外,攻击者经常试图使他们的网络钓鱼尝试尽可能令人信服。 因此,除非绝对确定与之通信的个人或团体是合法的,否则用户应避免泄露个人和公司信息。

鉴于网络罪犯使用的帐户和内部BEC电子邮件已受到攻击,组织还应考虑使用旨在解决日益严重的威胁的安全解决方案。 趋势科技现有的BEC保护使用AI,包括专家规则和机器学习来分析电子邮件的行为和意图。 新的创新型写作风格DNA技术通过使用机器学习根据过去的电子邮件来识别高管的写作风格的DNA,从而走得更远。 专为容易被欺骗的知名用户而设计,Writing Style DNA技术可以在电子邮件的书写风格与假定的发件人不匹配时检测伪造的电子邮件。 趋势科技™Cloud App Security™和适用于Microsoft®Exchange™的ScanMail™Suite解决方案使用该技术,通过考虑以下条件将电子邮件内容的书写风格与发件人进行交叉匹配:大写字母,短单词,标点符号 ,功能词,重复单词,不同词,句子长度和空白行以及其他7,000种写作特征。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢