网路资讯/10大网路攻击正在瞄准你的员工
作/艾里卡
今日有许多事都是透过Web且在多种装置上进行,这可是网路罪犯的大好机会。如今企业员工比以往更常分享资讯,并且更常与外部网路连结,这也使他们更容易陷入随机攻击的风险当中。
每天,网路罪犯都会设计新的恶意程式和社交工程攻击,来瞄准企业组织里最弱的环节「终端使用者及其连网装置」。笔者将介绍目前最常见的攻击手法与社交工程技俩,以及它们在染指终端使用者装置前,如何对公司资料加以防御。
挂马下载攻击
挂马下载是一种高明的网路攻击,是罪犯渗透线上使用者的关键。这种手法非常危险,因为它并不需要使用者下载恶意内容到终端装置。更可怕的是,它们通常是在合法网站里进行攻击。
挂马下载一般是骇客利用网页弱点,像是SQL隐码攻击,让攻击者变更网页内容,应用安全测试公司Veracode技术长Chris Wysopal说。恶意程式一旦植入网站,就可利用浏览器弱点自动下载,从完整的病毒到更难侦测的木马程式下载器(downloader)应用都没问题,后者会诱骗使用者按个按键或点一下滑鼠,把恶意程式下载到装置上。
「你在哪都可能碰上它们,使用者也可能遭受社交工程攻击而误入圈套,」行动与云端安全公司Neohapsis安全顾问Patrick Thomas说。挂马攻击在商业化的攻击套件中已经很普遍,即使没有技术背景的罪犯也能发动攻击。这些套件包含可自动回报浏览器版本的程式码,并且选择最有机会的攻击方式。
挂马攻击通常利用浏览器业者「已发现并待修补」的弱点,因此必须尽快修补才能遏止。但是修补程式产制通常需要2到3个月,完全不足以赶上最新威胁的速度。此外,IT必须「把浏览器包含在修补报告中,并确保其它浏览器也都有含括在公司修补程式管理的范畴之中,」Thomas说。
点击绑架
如果攻击者需要使用者更多的互动才能让他们下载恶意程式,这时就需要名为「点击绑架」的攻击手法。
「这类攻击的目的是要使用者在看不见的陷阱中打开目标网站,并要他们在不知道自己正在点击时,点选网站的某个地方,」应用安全顾问暨安全顾问公司Defensium训练讲师Ari Elias-Bachrach说,「借此你就可以诱骗使用者点击滑鼠,在网站上从事某些恶意勾当。」
一个常见的例子是提供看似合法外挂更新或防毒提示(例如Microsoft Security Essentials)的恶意对话窗跳出,骗使用者说电脑有一些病毒,按下按键可加以清除。「这些跳出视窗本身是无害的,但一旦点击就开了大门让恶意程式得以长趋直入,」企业行动方案业者DMI资安长Rick Doten说。
IT人员应该教育使用者,公司防毒作业会怎么帮助他们免于落入攻击阴谋。他们也应该要知道另一种点击绑架手法,叫做「按赞绑架」(likejacking),它们骗使用者点击网页上某个可预测、但看不见连结的地方。
它的命名来由是因为它很像Facebook的按「赞」,使用者不但会上?,还会在他们的Facebook涂鸦墙上散布攻击网页。按赞绑架另一种形式是攻击者张贴假的影片,诱骗使用者点入播放的按键。
「更进阶的按赞绑架手法甚至利用JavaScript写出动态连结,会追踪使用者滑鼠行为,以确定任何点击都能命中它预设的目标,不论目标位置何在,」云端安全厂商Zscaler安全研究部门副总裁Michael Sutton说。
外挂与Script攻击
攻击者不只寻找浏览器内的弱点,也常搜寻浏览器外挂与Script的瑕疵,以便进行挂马攻击及点击绑架攻击。由于这些攻击需要有已知弱点,「确保使用者浏览器及浏览器外挂都能自动更新到最新版很重要,」弱点管理方案公司Qualys技术长Kandek指出。
有些时候,关闭浏览器及其它高风险程式,像是Adobe Reader内的Script功能是必要的。同样的,移除有问题的外挂程式也有助于降低高风险用户的攻击面。但还是必须要能控管,并训练使用者不要让防御破功。「一旦网站无法正确载入,使用者经常会允许网页执行所有Script,」DMI的Doten说。
企业尤其要当心Java。它是最常被入侵的语言,而Java也是攻击者用以发动网页攻击以入侵企业网路最爱用的工具。网路安全顾问公司Solera威胁研究部门总监Andrew Brandt表示,除非企业应用必须使用Java,否则IT人员应完全移除该外挂。
许多攻击都是利用Java散布跳出式讯息,要求允许执行恶意Java档案,但使用者往往很难辨别是哪个浏览器跳出对话框。
「只要不小心按下『允许』执行,就会启动整个攻击过程。一旦恶意Java applet开始执行,只要几秒,恶意程式的内容(一个Windows应用),就会抵达、执行,然后展开所有龌龊行径。」
在最新的Java攻击中,使用者应该会在工具列看见一个小的视窗,称为JNLP,这就表示电脑已被入侵,因此可以教育使用者留心是否有此情况发生。