优步本月早些时候的安全漏洞令人遗憾,因为该公司在 2016 年遭受的一次攻击遗留下来的担忧,当时优步之外的一对黑客访问了存储在第三方服务器上的用户数据。
这一次,一名 18 岁的年轻人获得了 Uber 内部网络和 Slack 服务器的访问权限,他们在其中嘲笑员工系统是如何被黑客入侵的。此前,黑客曾两次使用 Slack 向 Uber 司机发送要求更高工资的消息。
IT 工作人员无法绕过黑客攻击,基本上使 Uber 司机无法完成他们的工作。
优步已发布声明,提出以下声明:
- 没有客户数据被泄露
- 所有服务均已全面运行
- 执法部门接到通知
- 为安全而禁用的内部软件重新上线
虽然这是攻击后的理想情况,但在攻击预防方面,了解现代社会工程攻击的根本原因更为重要。在这篇文章中,我们将更深入地研究攻击是如何进行的,以及您可以采取哪些措施来避免成为类似攻击的牺牲品。
黑客攻击分为三个部分:违反凭据、MFA 疲劳和社会工程
尽管 Uber 使用多因素身份验证 (MFA) 推送通知进行员工通信,但它并没有阻止黑客绕过这些身份验证保护,以利用社会工程来访问网络资产并以授权用户身份运行。
虽然 MFA 可以防止使用被盗凭据的攻击,但这并不能防止黑客拥有凭据并将其用于更高级的攻击时可能发生的情况。
优步后来透露,入侵其网络的攻击者首先获得了外部承包商的 VPN 凭据。
这些被盗的凭证被用来尝试MFA 疲劳攻击,在这种攻击中,用户会受到 MFA 验证通知的轰炸。在这个特定的黑客攻击中,最终用户拒绝验证尝试,直到攻击者 在 WhatsApp 上冒充技术支持联系目标,告诉该人接受 MFA 提示。社会工程学的这种附加元素将攻击从尝试变为成功。
底线
攻击者通过结合被盗凭据、MFA 疲劳攻击和社会工程(冒充技术支持)来破坏系统,从而使事件响应团队过时。
关键问题是,单一的中央身份验证点导致对各种基于云的 IAM 服务和帐户的访问,这可能导致有史以来最大的数据泄漏之一。
更多关于社会工程网络攻击的信息
社会工程攻击利用为特定公司工作的人员的信任来获取密码、屏幕名称和其他信息,以获取用户访问网络所需的信息。
社会工程攻击至少有五种公认的形式,但可以通过任何方式完成以下技术的目标:
- 网络钓鱼:最常见的社会工程攻击形式,网络钓鱼需要起草一封看起来可信的电子邮件,并使用它从用户那里获取信息。例如,攻击者可能会伪装成公司的朋友、亲戚、同事或合作伙伴。
- 水坑攻击:在这种类型的攻击中,黑客会找到员工花费时间的网站。他或她将尝试与员工进行对话,并收集访问信息或可能导致访问信息的线索。
- 商业电子邮件妥协 (BEC):一种网络钓鱼攻击的核心形式,BEC 攻击利用员工对惩罚的恐惧或讨好上级的愿望。攻击者通常会欺骗老板的电子邮件并索取信息。在某些情况下,BEC 攻击可能通过在电话中实际冒充主管或 c 级主管来完成。
- 物理社会工程:PSE 攻击以老式方式进行。可以通过偷窃抽屉、闯入公司车辆、分散接待员的注意力等方式来获取访问信息。
- USB 欺诈:这种类型的攻击可以是简单的 USB 记忆棒盗窃,也可以是带有恶意软件的 USB 记忆棒。受感染的 USB 也可以留在桌子上,希望员工将其插入并感染网络。由于这些攻击发生在办公室内,它们很可能是由心怀不满的员工实施的。
Uber 攻击表明,在通过社会工程(尤其是网络钓鱼)利用授权机制时,黑客已经变得多么老练。重要的是,您的 MFA 程序是真正的多因素,而不仅仅是两个因素。要求不同类型的验证方法(包括生物识别)来真正确保安全是一个好主意。
增强您的 IT 安全性
不管围绕社会工程的技术细节如何,对这类攻击的最强有力的防御是保持警惕和自动预防的文化。必须让员工了解所有类型的社会工程攻击,并能够看到它们的到来。培训团队以识别潜在威胁仍然是抵御这些网络安全攻击的最佳方法,这些攻击只会在未来变得更加普遍。
自动保护层
当然,这些黑客很先进,因此最好的做法是在您的 IT 安全协议中加入自动权宜之计,以防止最终用户的错误在受到威胁时危及您的网络。
通过使用密码策略实施工具,组织可以更好地自动化开发更高质量的密码,从而关闭可能使其系统容易受到攻击的漏洞。Specops Password Policy等高级密码策略工具也内置了针对违反凭据的使用的防御功能,这在 Uber 场景中特别有用。
另一种预防方法可能是Specops Secure Service Desk,它在允许重置密码之前自动验证最终用户的身份。而且因为它是一个零信任系统,服务台员工不会因为选择“只是信任”呼叫者就是他们所说的那个人而感到负担——这完全取决于自动化。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Uber Hack可以教给我们的有关IT安全导航的知识
