美国联邦调查局(FBI)和网络安全与基础设施安全局(CISA)周四发布联合警报,警告针对企业的语音钓鱼或“vishing”攻击威胁与日俱增。不到24小时前,KrebsOnSecurity发布了对一个犯罪集团的深入调查,该犯罪集团提供一项服务,人们可以雇佣该服务,从在冠状病毒大流行期间远程工作的员工那里窃取VPN凭证和其他敏感数据。
警报写道:“新冠肺炎的大流行导致人们大规模转向在家工作,导致企业虚拟专用网(VPN)的使用增加,并取消了面对面验证。”2020年7月中旬,网络犯罪分子开始了一场声势浩大的运动-通过不分青红皂白的目标获得多家公司的员工工具-最终目标是将访问权限货币化。
正如在周三的报道中指出的那样,这些机构表示,攻击者建立的钓鱼网站往往包括连字符、目标公司的名称和特定的单词,如“支持”、“票证”和“员工”。肇事者专注于目标公司的社会工程新员工,并冒充目标公司IT服务台的员工。
FBI/CISA联合警报(PDF)表示,这个贪婪的团伙还使用社交媒体平台、招聘人员和营销工具、公开可用的背景调查服务以及开源研究等方式,大量收集特定公司员工的档案。从警报中:
“演员最初开始使用不明身份的互联网协议语音(VoIP)号码在他们的个人手机上呼叫目标员工,后来开始在受害者公司中加入其他办公室和员工的虚假号码。演员使用社会工程技术,在某些情况下,假扮成受害公司的IT服务台成员,利用他们对员工个人身份信息(包括姓名、职位、在公司的工作时间和家庭住址)的了解,来获得目标员工的信任。
“然后,演员们说服目标员工,新的VPN链接将被发送,并要求他们登录,包括任何2FA(双因素身份验证)或OTP[一次性密码]。该行为者记录了该员工提供的信息,并使用该员工的账户实时使用这些信息来获取访问企业工具的权限。“。
警报指出,在某些情况下,毫无戒心的员工批准了2FA或OTP提示,可能是意外,或者认为这是早先授予帮助台模拟者访问权限的结果。在其他情况下,攻击者可以通过SIM卡交换来拦截一次性代码,这种方法涉及移动电话公司的社会工程人员,让他们控制目标的电话号码。在其他情况下,攻击者可以通过SIM交换来拦截一次性代码。SIM交换涉及移动电话公司的社会工程人员,让他们控制目标的电话号码。
这些机构表示,不法分子使用非法的VPN凭据来挖掘受害公司数据库,以获取客户的个人信息,以便在其他攻击中加以利用。
警报写道:“然后,行为者利用员工的访问权限对受害者进行进一步的研究,和/或根据被访问的平台使用不同的方法欺诈性地获取资金。”“不同公司的货币化方法不同,但非常激进,从最初的泄密到破坏性的套现计划之间有很短的时间线。”
该建议包括一些公司可以实施的建议,以帮助减轻这些恶意攻击的威胁,包括:
·使用硬件检查或安装的证书等机制,仅将VPN连接限制到托管设备,因此用户输入本身不足以访问公司VPN。
·采用域名监控来跟踪公司、品牌域名的创建或更改。
·采用最小特权原则,实施软件限制策略或其他控制;监控授权用户的访问和使用情况。
·考虑对通过公用电话网络进行的员工对员工通信使用正式的身份验证流程,在讨论敏感信息之前,会使用第二个因素对电话进行身份验证。
·为正确的公司VPN URL添加书签,不要仅仅因为入站电话呼叫就访问备选URL。
·对声称来自合法组织的不明身份人士主动打来的电话、来访或发来的电子邮件要持怀疑态度。请勿提供个人信息或有关您的组织的信息,包括其结构或网络,除非您确定某人拥有该信息的权限。如果可能,尝试直接向公司核实呼叫者的身份。
·如果你接到一个恶意电话,记录下呼叫者的电话号码,以及演员试图将你发送到的域名,并将此信息转发给执法部门。
·限制你在社交网站上发布的个人信息量。互联网是一种公共资源;只有在任何人都能看到的情况下,才能发布你觉得舒服的信息。
·评估您的设置:网站可能会定期更改选项,因此请定期检查您的安全和隐私设置,以确保您的选择仍然合适。