Lừa đảo trên đám mây: Thủ thuật mới và viên ngọc quý

Đã giải thích về các kỹ thuật lừa đảo qua đám mây đã phát triển và bài học rút ra từ vụ hack Dropbox và Uber gần đây

Điện toán đám mây mang đến cho những kẻ lừa đảo một sân chơi mới để thu hoạch và phát triển doanh nghiệp của chúng. Nhưng không chỉ có vậy, những tác động còn rộng lớn và nguy hiểm hơn nhiều. Không có tổ chức nào, dù lớn hay nhỏ, là bất khả xâm phạm trước các cuộc tấn công lừa đảo. Do đó, điều quan trọng là phải tìm hiểu xem bạn có thể bị nhắm mục tiêu như thế nào và bạn có thể làm gì để ngăn chặn điều đó.

Lừa đảo dựa trên SaaS đã quá quen thuộc. Ví dụ: hơn 90% tất cả các vi phạm dữ liệu là do lừa đảo , từ thông tin đăng nhập bị đánh cắp đến các URL độc hại. Ngoài ra, theo một báo cáo từ Đơn vị 42 của Palo Alto Networks , các nhà nghiên cứu đã chứng kiến sự gia tăng mạnh mẽ của hành vi lạm dụng này, với dữ liệu do công ty thu thập cho thấy mức tăng khổng lồ 1.100% từ tháng 6 năm 2021 đến tháng 6 năm 2022.

Với nhiều tiến bộ hơn trong công nghệ, không chỉ những người bảo vệ có thể tận dụng các công cụ và kỹ thuật tinh vi hơn để phát hiện và chặn các email, liên kết và tin nhắn lừa đảo, mà những kẻ tấn công cũng đang cải thiện về phía họ trong trò chơi mèo vờn chuột.

Trong khi hầu hết các cuộc tấn công kỹ thuật xã hội được thực hiện qua email, một phần ba chuyên gia CNTT đã báo cáo rằng kỹ thuật xã hội đã tăng lên được thực hiện qua các nền tảng truyền thông khác vào năm 2022.

Chúng bao gồm các cuộc tấn công được gửi qua :

• Nền tảng hội nghị truyền hình (44%),
• Nền tảng nhắn tin cho lực lượng lao động (40%),
• Nền tảng chia sẻ tệp dựa trên đám mây (40%) và
• SMS (36%).

Ngoài ra, lừa đảo trên mạng xã hội ngày càng phổ biến và vào quý 1 năm 2022, người dùng LinkedIn là mục tiêu của 52% trong tất cả các cuộc tấn công lừa đảo trên toàn cầu . Theo báo cáo Tình trạng lừa đảo năm 2022 của Proofpoint , nhân viên của 74% tổ chức đã bị gửi tin nhắn văn bản lừa đảo (smishing) và tỷ lệ tương tự đã bị nhắm mục tiêu trên mạng xã hội.

Kỹ thuật lừa đảo mới khó phát hiện — SaaS-to-SaaS

Tất cả những điều này có thể xảy ra mà kẻ tấn công không chạm vào máy tính/mạng tại chỗ của nạn nhân. Vì tất cả đều xảy ra SaaS-to-SaaS nên tất cả các biện pháp bảo mật hiện có, chẳng hạn như cổng Chống thư rác, hộp cát và lọc URL, sẽ không kiểm tra. Do đó, sẽ không có cảnh báo nào được tạo.

Ngoài ra, với sự gia tăng năng suất của văn phòng đám mây và các công nghệ cộng tác nhiều người dùng, giờ đây kẻ tấn công có thể lưu trữ và chia sẻ các tài liệu, tệp độc hại và thậm chí cả phần mềm độc hại trên cơ sở hạ tầng đám mây của các miền uy tín này mà vẫn không bị phát hiện.

Kể từ kết quả Nghiên cứu điểm kiểm tra vào năm 2020 , chúng tôi đã thấy xu hướng sử dụng cuộc tấn công lừa đảo SaaS-to-SaaS “nhiều giai đoạn” này.

Giai đoạn đầu tiên của một cuộc tấn công lừa đảo thường là hóa đơn giả mạo hoặc tài liệu PDF bảo mật được lưu trữ trên các dịch vụ đám mây. Tài liệu này có thể được tải xuống; tuy nhiên, cần lưu ý rằng để tạo thuận lợi cho việc sử dụng, các dịch vụ đám mây này sẽ mở tệp PDF để xem, cho phép tệp tải trong trình duyệt web mà không bị hạn chế hoặc cảnh báo.

Rất khó để phát hiện ra vì nó không nhất thiết phải tấn công vào hệ thống bảo vệ được triển khai. Như chúng ta đã biết trên bản tin, khi AWS Cloud Phishing cố gắng vào tháng 8 , nếu tính năng phát hiện lừa đảo được triển khai ở đầu vào và đầu ra của email, thì nó sẽ không bao giờ thấy điều đó xảy ra.

Tất cả các hành động xảy ra trong Đám mây (hoặc nhiều đám mây); khi quá trình phát hiện/quét diễn ra, tất cả mọi thứ dường như hợp pháp và được mã hóa. Nhiều khả năng, email lừa đảo sẽ tấn công máy của nạn nhân và tất cả điều kỳ diệu sẽ xảy ra trong trình duyệt.

Lừa đảo trên nền tảng đám mây nhiều giai đoạn

Đầu năm nay, Microsoft đã cảnh báo về hành vi lừa đảo mới tận dụng Azure AD để săn lùng những người không sử dụng xác thực đa yếu tố.

Cuộc tấn công này hiện đang phát triển mạnh chứ không phải trước đây vì những kẻ tấn công lợi dụng khái niệm BYOD (Mang theo thiết bị của riêng bạn) thông qua khả năng đăng ký thiết bị bằng thông tin đăng nhập mới bị đánh cắp và xác thực đám mây có thể truy cập mọi lúc, mọi nơi.

Không có gì khác thường, đó là một kỹ thuật tấn công mới kết hợp lừa đảo truyền thống với các hành động ở giai đoạn hai hoặc thậm chí là giai đoạn ba. Giai đoạn đầu đánh cắp email của nhân viên giống như các cuộc tấn công lừa đảo thông thường.

Tuy nhiên, thay vì tấn công nạn nhân, giai đoạn thứ hai sẽ thiết lập một tài khoản Office 365 mới trên một thiết bị giả mạo dưới tên của nạn nhân. Sau khi được thiết lập trên máy tính mới, tài khoản người dùng của nạn nhân (và trong trường hợp này là Quảng cáo Azure) được sử dụng để gửi các cuộc tấn công lừa đảo nội bộ (ngụy trang thành nạn nhân) trong công ty hoặc tới khách hàng sử dụng tài khoản email hợp pháp.

Nếu họ muốn có thêm quyền kiểm soát hoặc tìm một “máy chủ” tốt hơn, thì họ có thể tìm nó thông qua nạn nhân đầu tiên và sau đó xâm phạm tài khoản thứ hai bằng cách lừa đảo nội bộ. Các cuộc tấn công nhiều giai đoạn này có vẻ hợp pháp và thậm chí có thể triển khai phần mềm độc hại trên hệ thống OneDrive hoặc SharePoint của công ty.

ChatGPT (hoặc AI khác)

Theo nghiên cứu của HP Wolf Security , lừa đảo chiếm gần 90% các cuộc tấn công bằng phần mềm độc hại. Nhưng ChatGPT có thể làm cho toàn bộ tình hình trở nên tồi tệ hơn. 🧠 AI Chatbot thông minh như vậy có thể là một cách để thu thập thông tin thông qua một cuộc trò chuyện thân thiện giống như con người . Vì vậy, nạn nhân thậm chí có thể không biết họ đang tương tác với AI.

Check Point Research gần đây đã xuất bản một bài báo thú vị chứng minh cách các mô hình AI có thể tạo ra một luồng lây nhiễm hoàn chỉnh, từ lừa đảo trực tiếp đến đảo ngược vỏ . Nhiều tập lệnh có thể được tạo nhanh chóng, với các biến thể. Các quy trình tấn công phức tạp cũng có thể được tự động hóa bằng cách sử dụng API LLM để tạo ra các tạo phẩm độc hại khác.

Một nguy cơ khác nổi bật hơn. Công nghệ AI như ChatGPT sẽ cho phép những kẻ tấn công kết hợp khối lượng lừa đảo lớn với một cuộc tấn công có chủ đích (hoặc lừa đảo trực tiếp) . Ví dụ: giả sử các cuộc tấn công lừa đảo chung gửi đi hàng triệu thư rác dưới dạng email, SMS (trong trường hợp gửi thư rác) và các bài đăng trên mạng xã hội. Nhưng những điều này rất dễ phát hiện, dẫn đến năng suất thấp.

Với việc bổ sung AI Chatbot, hàng triệu tin nhắn lừa đảo có thể được tạo ra trong vài giây. Do đó, những kẻ tấn công có thể có những điều tốt nhất của cả hai thế giới. Do đó, vào năm 2023, chúng ta có thể sẽ thấy một số hành vi lừa đảo quy mô lớn gửi hàng triệu tin nhắn duy nhất được tạo trong vòng vài phút . Đó sẽ là một thách thức to lớn đối với các đội an ninh.

Các kỹ thuật lừa đảo mới lạ khác

QRing

Những kẻ tấn công hiện đang cố gắng phân phối các liên kết phần mềm độc hại thông qua mã QR được nhúng trong email, khiến chúng khó bị phát hiện đối với hầu hết các giải pháp bảo mật email. QRishing kết hợp các từ: “Mã QR” + “Lừa đảo”. Điều này cho thấy cuộc tấn công ở dạng mã QR. Nó có khả năng hướng nạn nhân kết nối với mạng WiFi không bảo mật trong khi ai đó có thể dễ dàng nắm bắt nội dung bạn đang nhập.

Một số đối thủ thậm chí còn dán mã QR độc hại trong nhà hàng hoặc các địa điểm công cộng khác. Vì đại dịch hạn chế tiếp xúc vật lý nên mã QR là một công cụ phổ biến cho những kẻ đe dọa. Chúng tôi sử dụng nó để truy cập menu, đăng ký vắc-xin và nhận thông tin công khai. Ngoài ra, chiến thuật lừa đảo qua mạng xã hội là chèn mã QR giả vào văn bản lừa đảo (SMishing + QRishing) hoặc nền tảng mạng xã hội. Khi quét mã độc, người dùng được chuyển hướng đến các trang web lừa đảo, nơi nạn nhân có thể được nhắc đăng nhập và đánh cắp thông tin đăng nhập của họ.

đánh nhau

SMishing kết hợp các từ “lừa đảo” và “SMS”. Điều đó có nghĩa đây là một kiểu lừa đảo được gửi qua mạng di động của bạn dưới dạng tin nhắn văn bản. Mặc dù tên này sử dụng SMS nhưng cuộc tấn công này có thể xảy ra trên các nền tảng nhắn tin khác, chẳng hạn như Facebook Messenger hoặc WhatsApp. Common Smishing cố gắng tập trung vào nhu cầu thiết yếu hàng ngày. Giao hàng bị lỡ, thanh toán trễ, thông báo ngân hàng, tiền phạt và thông báo khẩn cấp là những ví dụ về các cuộc tấn công lừa đảo.

Với rất nhiều người ở nhà và rất nhiều giao dịch mua hàng trực tuyến hàng ngày, chúng tôi tràn ngập các tông. Rất khó để theo dõi mọi thứ vào nhà. Kết hợp các dịch vụ giao hàng nổi tiếng với thông báo “phí giao hàng” giả mạo là công thức tốt nhất để Smishing thành công.

Crown Jewel = Tài khoản nhà phát triển

Tại sao các tác nhân đe dọa lại cố gắng xâm phạm tài khoản nhà phát triển? Và điều gì có thể xảy ra nếu chúng bị đánh cắp?

Tùy thuộc vào vị trí của nhà phát triển, kẻ tấn công có quyền truy cập vào hầu hết mọi thứ:

• khóa SSH,
• khóa API,
• Mã nguồn,
• Hạ tầng sản xuất,
• Truy cập vào đường ống CI/CD và,
• tức là các tác phẩm.

Ít nhất, kỹ sư này có quyền truy cập “cam kết” vào mã nguồn. Mặt khác, giả sử tổ chức không tuân theo các phương pháp hay nhất về công nghệ phần mềm, chẳng hạn như đánh giá mã và hạn chế những người có thể cam kết với nhánh chính. Trong trường hợp đó, kẻ tấn công có thể sửa đổi mã nguồn của tổ chức để thay đổi và lây nhiễm sản phẩm cuối cùng.

Tài khoản này có thể bỏ qua một số kiểm tra mã theo cách thủ công, tài khoản này cũng sẽ có quyền truy cập vào các tài nguyên có giá trị (mã nguồn, khóa SSH, bí mật, thông tin đăng nhập, khóa API, đường dẫn CI/CD, v.v.). Kịch bản này, trong đó loại tài khoản này bị xâm phạm, sẽ tàn phá tổ chức. Tài khoản nhà phát triển thường đi kèm với GitHub hoặc quyền truy cập kho lưu trữ mã khác.

Dropbox & Uber

Vào tháng 9, Uber tiết lộ rằng tin tặc đã đánh cắp thông tin cá nhân của khoảng 57 triệu khách hàng và tài xế . Sau đó, chúng tôi phát hiện ra rằng vụ hack có liên quan đến thông tin xác thực được mã hóa cứng thu được từ một “ cuộc tấn công kỹ thuật xã hội từ xa. ”

Vào tháng 11, Dropbox gặp sự cố bảo mật do một cuộc tấn công lừa đảo nhằm vào các nhà phát triển của nó. Họ đã bị lừa điền vào thông tin đăng nhập Github bằng một email lừa đảo vào một trang web giả mạo, mặc dù đã có xác thực đa yếu tố (MFA). Điều khiến những sự cố này trở nên đáng sợ là đây không chỉ là một người dùng ngẫu nhiên từ bộ phận kinh doanh; đó là các nhà phát triển có quyền truy cập đặc quyền vào nhiều dữ liệu Dropbox và Uber.

MFA Mệt mỏi

Cả hai trường hợp từ hai công ty công nghệ khổng lồ này đều triển khai xác thực đa yếu tố. Tuy nhiên, tin tặc vẫn tìm cách vượt qua hoặc làm việc xung quanh biện pháp này có thể ngăn chặn hầu hết hành vi trộm cắp thông tin xác thực.

Trong trường hợp của Uber, tin tặc (được cho là một thanh niên 17 tuổi) đã sáng tạo và nghĩ ra một phương pháp công nghệ thấp nhưng rất hiệu quả - một cuộc tấn công “MFA-fatigue”. ” Kẻ tấn công cố gắng đăng nhập nhiều lần, gửi một loạt yêu cầu đẩy tới người dùng yêu cầu nạn nhân xác nhận đăng nhập. Sau khi nạn nhân ngừng nhấp vào “không” trên điện thoại của họ, tiếp theo là “đăng nhập được ủy quyền”, do đó, MFA không thành công.

Đối với trường hợp Dropbox, đơn giản hơn nhiều. Email lừa đảo được cho là bắt nguồn từ nền tảng phân phối và tích hợp mã, CircleCI . Sau đó, trang web lừa đảo trông như thật đã lừa nhà phát triển nhập thông tin xác thực và mật khẩu dùng một lần. Như vậy, MFA cũng thất bại.

Mã Repo và hơn thế nữa

Như chúng ta đã thấy trong các sự cố này, GitHub và các nền tảng khác trong không gian đường ống tích hợp liên tục/triển khai liên tục (CI/CD) là “viên ngọc quý” mới cho nhiều công ty. Với các quyền thích hợp, kẻ tấn công có thể lấy tài sản trí tuệ, mã nguồn và dữ liệu nhạy cảm khác.

Nhưng không dừng lại ở đó, vì GitHub thường tích hợp với các nền tảng khác, điều này cho phép “người dùng” được phép tiến xa hơn nữa. Ngoài ra, tài khoản của nhà phát triển thường được cấp quyền truy cập ở cấp độ sâu nhất, vì việc duy trì và phát triển ứng dụng cốt lõi có thể là một phần trách nhiệm công việc của họ. Điều đó làm cho tài khoản của nhà phát triển trở thành viên ngọc quý cho những kẻ tấn công.

Cách cải thiện khả năng phòng thủ lừa đảo của bạn

Theo thống kê của ngành , trung bình một tổ chức nhận được hàng chục email lừa đảo mỗi ngày, với tổn thất tài chính cộng thêm do tổn thất từ các cuộc tấn công bằng phần mềm độc hại và mã độc tống tiền làm tăng chi phí trung bình của các cuộc tấn công lừa đảo trên đất liền qua từng năm. Đối mặt với tất cả các mối đe dọa được nêu bật đòi hỏi nhiều nỗ lực hơn và mặc dù bạn không thể loại bỏ nguy cơ bị tấn công lừa đảo, nhưng bạn có thể học hỏi từ các xu hướng và sự cố quan sát được để quản lý chúng tốt hơn.

Ví dụ: đây là các đề xuất từ báo cáo Zscaler gần đây :

1. Hiểu các rủi ro để đưa ra các quyết định về chính sách và công nghệ tốt hơn
2. Tận dụng các công cụ tự động và thông tin hữu ích để giảm sự cố lừa đảo
3. Thực hiện các kiến trúc không tin cậy để hạn chế bán kính bùng nổ của các cuộc tấn công thành công
4. Cung cấp đào tạo kịp thời để nâng cao nhận thức về bảo mật và thúc đẩy báo cáo của người dùng
5. Mô phỏng các cuộc tấn công lừa đảo để xác định lỗ hổng trong chương trình của bạn

Ngoài năm biện pháp giảm thiểu cơ bản đối với các cuộc tấn công lừa đảo, chúng tôi có thể làm được nhiều hơn thế. Do đó, tôi sẽ kết thúc bài viết này với các mẹo mà bạn có thể mang theo. Biết rằng những kẻ lừa đảo cuối cùng sẽ tìm cách tiếp cận bạn , nên có mức độ chống chịu trên mạng cao hơn sẽ là một cách tuyệt vời để bắt đầu.

Mẹo số 1: Phương pháp phòng thủ lừa đảo nhiều lớp

Bảo mật email điển hình chống lừa đảo thường chỉ dựa vào một điểm bảo vệ duy nhất, chẳng hạn như cổng email và điểm cuối/tác nhân di động. Mọi thứ đi qua cổng đó sẽ phụ thuộc vào việc người dùng có thể phát hiện các tin nhắn lừa đảo hay không. Chưa kể những kẻ tấn công hiện đang mài giũa vũ khí của chúng bằng lừa đảo nhiều giai đoạn.

Ngược lại, cách tiếp cận phòng thủ theo lớp có thể cải thiện khả năng phục hồi không gian mạng mà không làm gián đoạn năng suất kinh doanh. Hơn nữa, sẽ có nhiều cơ hội để phát hiện và bắt một email lừa đảo.

1. Phạm vi tiếp cận — Ngăn không cho email đến hộp thư đến của người dùng. Điều này có thể đạt được bằng cách giới thiệu phần mềm bảo mật chống lừa đảo như bộ lọc thư rác. Ngoài ra, nên thực hiện các biện pháp kiểm soát chống giả mạo, chẳng hạn như; Bản ghi DMARC, DKIM và SPF.
2. Xác định — Hầu hết các vi phạm dữ liệu được bắt đầu thông qua email lừa đảo do lỗi của con người. Do đó, nhân viên nên được đào tạo thường xuyên trong việc xác định các email lừa đảo tiềm năng mới nhất. Điều này sẽ cho phép họ tuân theo quy trình của công ty khi xảy ra sự cố, bao gồm cả việc báo cáo sự cố cho nhóm có liên quan.
3. Bảo vệ — Các biện pháp bảo vệ nên được áp dụng khi có sự cố xảy ra. Những biện pháp bảo vệ này bao gồm nhưng không giới hạn ở; thực thi xác thực đa yếu tố (MFA), trình quản lý mật khẩu, kiểm tra tình trạng CNTT thường xuyên và bảo vệ điểm cuối.
4. Phản hồi — Nhân viên sẽ có thể báo cáo các sự cố lừa đảo cho nhóm có liên quan. Nên có một nhật ký bảo mật chuyên dụng và hệ thống báo động, cũng như Kế hoạch ứng phó sự cố.

Mẹo số 2: Phương pháp tiếp cận đúng lúc (JIT)

Gartner tuyên bố quyền truy cập đặc quyền kéo theo một mối nguy hiểm đáng kể. Rủi ro do người dùng có đặc quyền thường trực gây ra vẫn tồn tại ngay cả với các công cụ PAM và rủi ro này là đáng kể. Họ đề xuất các giải pháp just-in-time (JIT) được sử dụng bởi các nhà lãnh đạo quản lý truy cập và nhận dạng (IAM) để cuối cùng đạt được tư thế không có đặc quyền.

Gartner cũng cung cấp một giải pháp để chống lại nó - Phương pháp tiếp cận đúng lúc. Ví dụ: khi nhà phát triển sử dụng các thông tin đăng nhập này để thiết lập hoặc sửa đổi tài nguyên sản xuất, thì việc cấp cho họ các quyền phù hợp là rất quan trọng, chỉ với các khả năng cần thiết để hoàn thành các tác vụ được chỉ định.

Mẹo số 3: Xem xét chuyển tiếp hộp thư

Các tác nhân đe dọa sử dụng các tài khoản bị xâm nhập không chỉ để đánh cắp dữ liệu nội bộ mà còn, ví dụ:

• Đọc email của người dùng,
• Phân phối phần mềm độc hại,
• thư rác,
• Tìm hiểu về người dùng và tiếp tục triển khai lừa đảo giai đoạn hai và
• Chuyển tiếp email đến người nhận bên ngoài.

Những kẻ tấn công có thể thiết lập các quy tắc email để che giấu các hoạt động độc hại của chúng khỏi người dùng nhằm ẩn các email đến trong hộp thư của người dùng bị xâm nhập. Họ cũng có thể tạo các quy tắc trong hộp thư của người dùng bị xâm phạm để xóa email, di chuyển chúng đến một thư mục ít hiển thị hơn, chẳng hạn như thư mục RSS hoặc chuyển tiếp email đến một tài khoản bên ngoài.

Email có thể được chuyển tiếp thủ công hoặc tự động bằng quy tắc chuyển tiếp. Chuyển tiếp tự động có thể được thực hiện theo nhiều cách khác nhau, bao gồm Quy tắc hộp thư đến, Quy tắc truyền tải trao đổi (ETR) và Chuyển tiếp SMTP. Mặc dù chuyển tiếp thủ công yêu cầu người dùng thực hiện hành động trực tiếp, nhưng họ có thể cần biết tất cả các email được chuyển tiếp tự động.

Từ cuối cùng

Thực tế là không ai có thể ngăn chặn lừa đảo hoàn toàn miễn là yếu tố con người nằm trong công thức. Do đó, điều tốt nhất chúng tôi có thể làm trong thời gian dài là áp dụng Kiến trúc Zero Trust để bảo mật email. Nó sẽ là một thiết kế chi tiết hơn nhiều của phương pháp phòng thủ nhiều lớp.

Cách tiếp cận Zero Trust đối với email có thể hỗ trợ các tổ chức bảo vệ chống lại các cuộc tấn công mạo danh email bằng cách tập trung vào Xác thực (Xác minh độ tin cậy của người dùng/thiết bị) — đảm bảo rằng các email xâm nhập vào môi trường công ty hoặc đến hộp thư đến của người dùng cuối là từ các cá nhân, thương hiệu và miền hợp pháp .

Một vị trí đặc quyền tồn tại cho các nhà phát triển phần mềm trong mọi tổ chức kỹ thuật. Họ là trụ cột trong bất kỳ công ty hiện đại nào vì họ có quyền truy cập ngược dòng vào các sản phẩm được phân phối cho khách hàng và quyền truy cập của họ vào hệ thống sản xuất và cơ sở hạ tầng. Tổ chức bảo mật sẽ thất bại nếu các nhà phát triển không được bảo vệ, dẫn đến thảm họa.

Nếu không may, bạn rơi vào một cuộc tấn công lừa đảo, vui lòng làm như sau:

• Liên hệ với bộ phận CNTT và cho họ biết tình hình
• Đặt lại mật khẩu cho các ứng dụng liên quan
• Vui lòng không sử dụng mật khẩu lặp lại. Thay vào đó, hãy đặt lại tài khoản bằng mật khẩu giống như các ứng dụng trên.
• Theo dõi tài khoản cẩn thận trong 30 ngày

Cuối cùng, NIST đã phát triển một phương pháp giúp nhóm bảo mật xem tại sao người dùng nhấp vào email lừa đảo:

Cảm ơn bạn đã đọc. InfoSec có thể ở bên bạn🖖.