美联储警告说,网络犯罪分子已经通过多因素身份验证(MFA)成功攻击了许多美国机构的云服务。
根据网络安全和基础设施安全局(CISA)周三发布的警报,已经有“几次网络攻击成功破坏了云基础设施”。
据该机构称,大多数攻击是利用诸如网络配置错误之类的漏洞的攻击。
警报摘要:“当员工使用公司的笔记本电脑和个人设备访问云服务时,通常会发生这种类型的攻击。
尽管组织使用安全工具,但受攻击组织的网络环境通常非常薄弱,使黑客非常容易受到攻击。
轻松进攻”。
例如,在一种情况下,组织不需要使用虚拟专用网络来允许员工远程访问公司网络。
CISA解释说:“尽管他们的服务器位于公司的防火墙中,但是由于远程办公室的当前需求,为了允许员工远程访问它,他们打开了服务器的80端口。
外部世界,这使组织容易受到网络攻击”。
该机构还指出,网络钓鱼和“ Cookie交付”是指攻击是云攻击的主要攻击方法。
网络钓鱼和MFA绕过就网络钓鱼攻击而言,目标通常会接收包含恶意链接的电子邮件。
有些电子邮件会伪装成文件托管服务的警报。
在这两种情况下,恶意链接都将跳至网络钓鱼页面,并要求他们提供帐户登录凭据。
结果,网络罪犯获得了使用云服务的权限。
根据警报:“ CISA观察到攻击者的登录位置在国外(尽管攻击者可能使用代理或TheOnionRouter(Tor)伪造其位置),然后攻击者将使用组织的帐户向用户发送网络钓鱼电子邮件。
攻击在某些情况下,这些电子邮件还包含指向该组织的文件托管服务的文件链接”。
同时,攻击者已经能够使用“ pass cookie”来进行攻击。
攻击以绕过MFA。
浏览器的cookie用于存储用户的身份验证信息,以便网站可以使用户保持登录状态。
满足MFA验证条件后,身份验证信息将存储在cookie中,因此不会提示用户输入MFA之后再检查。
因此,如果攻击者使用正确的cookie,则可以在浏览器会话中将其认证为合法用户,从而绕过所有MFA检查。
正如Stealthbits在最近的一篇文章中所解释的那样,攻击者需要诱使用户单击仿冒电子邮件来入侵用户的系统,然后使用非常简单的命令从计算机中提取相应的cookie。
KnowBe4的数据驱动型防御架构师Roger Grimes通过电子邮件表示:“应注意的是,如果公司不了解MFA的漏洞以及黑客绕过身份验证的方法,那么该公司也可能不使用它。
如果您认为使用MFA可以帮助公司更安全(事实并非如此),则您的防御措施可能很容易受到攻击。
但是,如果您了解MFA是如何受到攻击的,并与MFA用户及其系统设计者共享这些内容,则您的云服务会更安全。
关键是要意识到一切都可以被黑客攻击。
MFA不是一种特殊而神奇的防御措施,任何黑客都无法破解它。
相反,围绕MFA进行网络安全意识培训非常重要。
,因为只有这样,该组织的云服务才会更加安全”。
使用转发规则CISA表示,它还观察到攻击者在成功入侵后使用电子邮件转发规则来收集敏感信息。
转发规则允许用户将工作电子邮件发送到他们自己的电子邮件帐户。
对于远程办公室工作人员,此功能是非常有用的功能。
CISA说,它已经观察到攻击者通过修改用户帐户上的电子邮件规则将电子邮件重定向到攻击者控制的帐户。
根据该机构的说法:“攻击者还修改了现有规则,搜索了用户的电子邮件信息(主题和正文),查找了与财务相关的关键字,然后将电子邮件转发到了攻击者的帐户,以防止用户看到在发出警告消息时,攻击者还创建了一个新的邮箱规则,以将用户收到的某些电子邮件(尤其是具有某些与网络钓鱼相关的关键字的电子邮件)转发给合法用户的RSSFeed或RSS订阅文件夹,这是在当前社会发展趋势下,云安全性将在明年加速云应用程序的开发,软件即服务和云托管存储将推动这一趋势的发展。
Rebyc的一项研究发现,