〔最新消息〕2020-11-26
點數卡駭客曝光--你付錢,他們玩
如果你讀過最近的《Sophos 2021威脅報告》,你就會知道,我們特意加入了一個關於所有非勒索軟體的惡意軟體的章節。
當然,如今勒索軟體霸佔媒體頭條是可以理解的,但網路犯罪遠不止勒索軟體攻擊。
事實上,正如我們之前所指出的那樣,許多勒索軟體事件的發生是由於其他惡意軟體首先滲透到你的網路中,並在後來帶來了勒索軟體。
事實上,很多網路入侵根本不涉及惡意軟體,因為網路犯罪分子有很多其他的方式從你的使用者、你的公司或者兩者中出血。
下面是Sophos快速回應團隊最近遇到的一個例子--一個機會主義網路入侵,它的複雜程度遠遠低於典型的勒索軟體或資料竊取攻擊,但還是很危險,令人不安。
更糟糕的是,對於企業的員工來說,這些駭客並不是專門針對整個公司的,但似乎攻擊網路只是因為它代表了一種方便的方式,可以在同一時間黑掉很多人。
很簡單的說,這些駭客是為了盡可能多的帳戶,他們可以訪問購買盡可能多的點數卡,儘快。
你可能知道,你在網上購買的點數卡,一般都是以郵件的形式將秘密代碼和註冊連結送到你選擇的收件人手中。
所以,收到點數卡密碼有點像從預付信用卡上拿到號碼、有效期和安全碼--通俗地說,誰拿到密碼誰就可以消費。
雖然點數卡只能由預定的收件人使用--它們不應該是可以轉讓的--但如果收件人選擇允許別人使用它們,也沒什麼好阻止的,這意味著它們可以在網路犯罪的地下網路上出售。
而對於所有這些,一張200美元的點數卡,在網上非法出售,比如說,其面值的一半,聽起來並不多......
......駭客如果能夠獲得整個公司的用戶--在這個故事中,該公司的VPN支持了大約200人--就可以嘗試在短時間內獲得不僅僅是一張而是可能是數百張預付點數卡。
在這個案例中,犯罪分子並不關心留下的受害者是員工個人、公司本身,還是兩者都有。
揭穿和擊退
這裡的好消息是,在快速反應小組能夠將他們踢出網路之前,駭客們只花了800美元的別人的錢,據我們所知,這些欺詐性的購買行為被及時發現並逆轉,所以沒有人最終落得個血本無歸。
正如你所看到的那樣,駭客之所以能夠早早地被揭穿和擊退,主要是因為受影響公司的一位系統管理員在發現不對勁的時候就立即行動了。
儘管我們為Sophos快速回應團隊能夠快速反應並處理此次攻擊而感到自豪,但至關重要的是受害者在第一時間迅速觸發了適當的回應。
事情是如何發生的
這些駭客沒有時間清理自己--或者說他們根本就沒打算清理--但據我們所知,攻擊的展開簡單而迅速。
我們不能確定駭客到底是如何進入的,但我們知道的是。
- ● 受害者的VPN伺服器已經幾個月沒有做程式更新。單單這一點就足以讓駭客入侵--理論上,舊版VPN存在漏洞,可以讓駭客潛入網路。
- ● VPN伺服器沒有被設置為需要2FA。這意味著,從單個使用者那裡成功騙取的密碼可能已經足夠給他們的灘頭。儘管漏洞未被修補,但我們懷疑這次攻擊者就是這樣闖進來的)。
- ● 一旦 "進入 "VPN,駭客們就能在內部使用RDP從一台電腦跳到另一台電腦。這意味著他們可以打開用戶電腦上的網頁流覽器,查看他們沒有註銷的線上帳戶,包括他們的個人電子郵件帳戶(如Gmail和Outlook.com)。確保你從網路內部和外部一樣堅固地保護RDP。
- ● 駭客利用個人電子郵件帳戶進行大量的密碼重置。在一些電腦上,由於緩存的憑證,駭客可以訪問電子郵件帳戶,但無法進入其他有趣的帳戶,因為用戶已經註銷了這些帳戶,他們通過電子郵件帳戶進行密碼重置。駭客們下手的帳戶包括百思買、Facebook、Google Pay、PayPal、Venmo和沃爾瑪。
幸運的是,以這種方式受到攻擊的使用者中,似乎只有少數人保存了自己的信用卡資料,以便在購物時自動重複使用,這可能是駭客在被發現前只成功購買了幾百美元的點數卡的原因。
顯然,眾多需要重新設置更改密碼才能重新進入帳戶的用戶發現,他們的線上購物車裡有點數卡在排隊購買,但駭客一直沒有最終完成這些購買。
(我們無法判斷,駭客留下這些未成功的購買行為,是因為還沒來得及清理就被抓了,還是希望以後被合法帳戶持有人忽略而誤購,還是因為他們只顧著速度而不在乎之後的事情)。
但還有更多
與許多攻擊一樣,這次的攻擊並不只有一個目的,雖然拿到 "賣錢 "似乎是這裡的主要動機。
駭客還下載並安裝了一個流行的免費檔搜索工具,以説明他們在網路上尋找有趣的檔。
這個工具留下的日誌檔顯示,犯罪分子正在積極獵取與公司和員工有關的個人和機密資料。
我們不知道犯罪分子能夠從他們獵取的檔中獲得多少東西,如果有的話,但我們知道他們感興趣的東西,其中包括。
- ● 個人和公司的銀行對帳單
- ● 接受信用卡付款的商家協議。
- ● 信用卡申請書。
- ● 公司司機的名冊資料。
據我們所知,檔搜索似乎是這些犯罪分子的次要興趣,他們只是堅定而執著地試圖對盡可能多的網路使用者進行欺詐性購買。
不過,不管是不是次要利益,駭客們的目的並不僅僅是為了點數卡。
畢竟,本應屬於隱私的個人和企業資料在地下網路犯罪中也有價值--不僅僅是轉賣給其他犯罪分子,而是作為幫助進一步開展犯罪活動的工具。
快速的反應是有效果的
幸運的是,這些駭客似乎在攻擊初期就陷入了困境。
大概是由於他們無法進入盡可能多的使用者的電子郵件帳戶而感到沮喪,他們重新設置了各種公司相關帳戶的密碼,以擴大他們的存取權限。
這樣做的副作用是將使用者,包括一位系統管理員,鎖定在公司的各個系統之外... ...
...而系統管理員不只是為了解決眼前的問題來解決什麼,還引發了一個反應來找出原因。
這個反應很快就導致了駭客被踢出了網路。
正如我們上面所說,任何舉報都是好的舉報!
怎麼辦呢?
這些駭客的速度和決心,投機取巧地登錄一個又一個電子郵件帳戶,這很好地提醒了我們為什麼深度防禦很重要。
這些提示在這裡都會有説明。
- ● 盡早修補,隨時更新。本文中提到的脆弱的VPN可能並不是本案中駭客獲得訪問權的途徑,但無論如何這都是一條可能的內向路徑。當你可以走在前面的時候,為什麼要落後于駭客呢?
- ● 盡可能的使用2FA。外部VPN和內部RDP伺服器的第二個認證因素可能已經足夠阻止這些駭客。
- ● 當你不使用它們時,從帳戶中登出。是的,每次需要使用帳戶時,重新登錄帳戶是一件很麻煩的事情,但結合2FA,如果駭客能夠進入你的流覽器,他們就更難利用你了。
- ● 重新考慮一下你允許哪些網站線上保留支付卡資料,以便下次使用。與線上服務相比,那些只為特定購物(如支付水電費)保留支付卡資訊的公司,風險要低得多,因為你的卡幾乎可以用來支付任何東西,特別是比通過電子郵件立即 "交付 "的專案。
- ● 不要只用威脅防護產品來阻止惡意軟體。也要阻止潛在的不需要的應用程式(PUA)和駭客工具。網路犯罪分子越來越多地轉向你系統上已經有的合法網路安全和網路管理軟體,而不是使用惡意軟體--這種技術被稱為 "靠土地生活"--希望自己看起來像系統管理員。如果可以的話,把他們抓出來。
- ● 有地方讓用戶報告安全問題。如果你意外地被鎖在自己的帳戶之外,確保你的反應不是簡單的 "我需要重新上線",而是 "我需要找到根本原因"。一個易於記憶的電子郵寄地址或公司電話號碼,用於網路安全報告,可以説明你讓整個公司成為IT安全團隊的眼睛和耳朵。
- ● 讓你的使用者對網路釣魚的最新趨勢保持警惕。考慮使用反釣魚培訓產品,如Sophos Phish Threat。我們還不能確定,但看起來似乎一個釣魚密碼可能就是駭客在這次攻擊中開始的方式。
- ● 不要被勒索軟體等特定威脅所誤導。勒索軟體專用工具作為深度防禦方法的一部分是有用的,但不會單獨阻止這次攻擊。然而,一個能阻擋這些駭客的整體方法很可能也能阻止大多數勒索軟體攻擊。
