在帮助台上验证最终用户,以防止社会工程网络攻击
尽管组织通常会竭尽全力解决其IT基础设施中可能存在的安全漏洞,但由于社会工程攻击,组织的帮助台可能会构成更大的威胁
根据Webroot的说法,社会工程是“操纵人们,让他们放弃机密信息的艺术”。有许多不同类型的社会工程方案,但其中一个漏洞是,如何利用社会工程对抗帮助台技术人员窃取用户的凭据
通过社会工程获得访问权限的过程
此类攻击的第一步通常是让攻击者收集有关其目标组织的信息。攻击者可能会首先使用互联网上免费提供的信息,找出组织内最有可能拥有提升权限或访问敏感信息的人。攻击者通常可以通过简单的谷歌搜索或通过查询LinkedIn等面向业务的社交网络获取这些信息
一旦攻击者识别出想要窃取其凭据的用户,他们就需要知道该用户的登录名。攻击者可以通过多种方式识别登录名。一种方法可能只是尝试在组织的Active Directory环境中进行身份验证。一些旧的Active Directory客户端会告诉您是否输入了错误的用户名或密码
一种更简单的方法是让攻击者查询泄露凭据的在线数据库。攻击者不一定需要找到他们正在攻击的帐户的凭据。他们只需要找到该组织中某个人的凭据。这将揭示组织使用的用户名结构。例如,组织可能会基于firstname创建用户名。姓氏,或者可能是首字母后跟姓氏
有了这些信息,攻击者可能会打电话到组织的帮助台,请求重置密码。这通电话的目的不是重置密码,而是了解该组织有哪些类型的协议。例如,帮助台技术人员可能会向攻击者(冒充合法员工)询问一个安全问题,如“您的员工ID号是多少”。然后,攻击者可以告诉技术人员他们手边没有员工ID号,当他们面前有员工ID号时,会再打电话给他们
此时,攻击者掌握了几条关键信息。他们知道受害者的姓名、登录名,以及帮助台技术人员在授予密码重置之前要问的安全问题
用安全问题对抗社会工程攻击
不幸的是,安全问题在很大程度上是无效的。经验丰富的攻击者可以轻松地从任意数量的不同来源获取安全问题的答案。例如,“黑暗网络”包含了潜在安全问题答案的完整数据库,我们知道最终用户经常在社交媒体上泄露太多个人信息
除了安全问题,一些组织历史上使用来电显示信息作为验证用户身份的工具。然而,这种方法也不可靠,因为基于云的PBX系统使得攻击者可以很容易地伪造来电显示信息
重要的是要记住,社会工程攻击不是理论上的攻击向量,它们发生在现实世界中。今年早些时候,电子艺界被黑客渗透,他们窃取了大量数据(包括该公司FIFA 21足球赛的源代码)。黑客通过欺骗该公司的IT支持人员,让他们访问该公司的网络,从而获得了访问权限
那么,如果安全问题和其他传统身份验证机制不再有效,组织如何抵御此类攻击
帮助台技术人员的责任
防止针对帮助台的社会工程攻击的关键是使帮助台技术人员不可能在知情或不知情的情况下协助此类攻击。技术人员实际上是安全链中的薄弱环节
考虑前面的例子,在这个例子中,攻击者假装是需要重置密码的员工,联系组织的帮助台。在那次谈话中,可能会发生几件事。一些可能的结果包括:
- 攻击者使用来自社交媒体或黑暗网络的斯托伦信息回答安全问题
- 攻击者试图通过友好对话获得技术人员的信任,以获得技术人员的青睐。攻击者希望技术人员忽略这些规则,继续重置密码,即使没有所需的安全信息。在某些情况下,攻击者还可能试图让帮助台技术人员为他们感到抱歉
- 攻击者可能会假扮首席执行官,试图恐吓帮助台技术人员,因为他们无法登录而感到非常不安。当帮助台技术人员提出安全问题时,攻击者可能会尖叫说他们没有时间回答一大堆愚蠢的问题,并要求立即重置密码(这种技术在现实世界中已经成功多次)
归根结底,技术人员的判断是决定是否要进行请求的密码重置的唯一因素。如果技术人员未能充分证明用户的身份,本机Active Directory工具中没有任何内容可以阻止技术人员重置用户密码。因此,可以将Active Directory工具视为安全链中的另一个薄弱环节
社会工程网络攻击的安全解决方案
消除组织被此类攻击破坏的可能性的最佳方法是防止帮助台工作人员使用Active Directory用户和计算机控制台或类似工具重置密码。相反,最好使用第三方解决方案,例如Specops Secure Service Desk,该解决方案将实际阻止技术人员重置密码,除非满足某些MFA要求
为了查看安全服务台如何消除与密码重置相关的风险,请考虑合法用户请求密码重置的情况。帮助台技术人员可以向用户的移动设备(已预注册且已知属于用户)发送六位数代码。技师看不到此代码,也不知道发送了什么代码。当用户收到代码时,他们必须将代码读给技术人员,然后技术人员将代码输入Specops软件,只有这样,技术人员才能重置用户密码。这使得技术人员不可能绕开规则,向不符合安全要求的人授予密码重置
 |
