Når hackere målretter deres aktivitet mod mennesker for at få netværksadgang

Hacking foregår også ved at cyberkriminelle forsøger at omgå en organisations sikkerhedssystemer for at stjæle legitimationsoplysninger eller begå svig.

Siden vi begyndte at modtage e-mail, har det været vanskeligt at beskytte modtagere mod svindel, phishes og andre e-mail-meddelelser. Den berygtede e-mail-baserede computerorm, “ILOVEYOU-virussen”, der inficerede it-systemer tilbage i 2000.

Disse ofre burde have vidst bedre end at klikke på en e-mail, der sagde ILOVEYOU, men de gjorde det og måtte rydde op bagefter. De fleste håber, at antivirus- eller slutpunktsbeskyttelsessoftware advarer om problemer. I virkeligheden gør det ofte ikke. Når teknologien fejler, er det sandsynligvis, fordi hackeren gjorde en ende på at løbe rundt om den ved at målrette mod mennesker. Her er fire måder, de gør det på.

  1. Det målrettede menneskelige angreb

En nylig video viste, hvordan SocialProof Security CEO Rachel Tobac hackede filmproducent Jeffrey Katzenberg. Hun gik først målrettet efter en person i Katzenbergs firma, som han ville stole på ved hjælp af offentlige databaser og anden forskning. Hun ringede derefter til ham ved at forfalske kollegaens telefonnummer og ledte ham til en phishing-e-mail, der brugte en lookalike-e-mail-adresse på kollegaen. Når Katzenberg åbnede e-mailen og klikkede på det link, den indeholdt, havde Tobac adgang til alt på sin bærbare computer, som han var logget ind på, inklusive alle hans kontakter.

processen er ikke ny. Hacker Kevin Mitnick udtalte, at han kompromitterede computere udelukkende ved hjælp af adgangskoder og koder, som han fik ved social engineering. Jeg ejer stadig en hundeøret kopi af hans Washington-område, hvem der vejleder ledere og deres assistenter, der blev taget som bevis af FBI. Jeg købte det for mange år siden i en fundraiser som en unik souvenir af sikkerhedshistorie. Dengang fandt man disse oplysninger i bøger. I dag er det let tilgængeligt online.

  1. Svigagtig bankoverførsels-e-mail

Et andet menneskeligt angreb er den svigagtige bankoverførsels-e-mail. I 2020 gik over $ 600,000 tabt i en svigagtig bankoverførselssvindel:

“I januar 2020 kablede embedsmænd omkring $ 325.000 til, hvem de troede var entreprenøren, der byggede en ny politistation i byen. Mindre end to måneder senere, i begyndelsen af marts, sendte byen yderligere $ 300.000. Fakturaerne så identiske ud med tidligere, bortset fra et afgørende aspekt: Kontonummeret, hvor pengene ville blive sendt, var anderledes.”

Hackerne tog sig tid til at vide, hvordan fakturaerne ville se ud, og processerne ville fungere. Teknikker til at gøre dette spænder fra at analysere nyhedskilder og offentlige rådsmøder til at vide, hvilke leverandører der var aktive og forventede betalinger. Jeg spekulerer i, at nøglemedarbejderes e-mail-konti blev brudt, så Hackerne kunne se, hvilke store elektroniske betalingsprocesser der foregik under den normale forretningsgang og dermed mere modtagelige for svigagtige transaktioner.

  1. Narre brugere til at aflevere legitimationsoplysninger

Tidligere ville mange af disse angreb og svindel levere malware direkte til din e-mail-boks. Hvor mange af os har deaktiveret eksempelruden i Outlook for at beskytte slutbrugere mod direkte angreb ved hjælp af et makro- eller kodebaseret angreb? Nu skal angriberen være mere genial, sætte den vedhæftede malware i en cloud, spoofing e-mail-adresser og domæner for at lokke brugeren til at klikke på linket.

 

Når vi flytter til cloud-applikationer, skifter angribere også angrebsmetoder og forsøger at narre brugere til at overdrage legitimationsoplysninger og anmode om applikationsgodkendelse til at tilføje en malware-app til deres eksisterende Microsoft 365-applikationer.

  1. Omgå multifaktorautentificering

Enhver godkendelsesproces skal kræve multifaktorgodkendelse (MFA) for at logge på. Uanset om du bruger Authy, Google-godkendelse, Microsoft-godkendelsesprogram, Duo.com eller en keyfob, er ”djævelen” ofte i implementeringsdetaljerne. For eksempel udgav FBI for nylig en rådgivning vedrørende russiske statsstøttede cyberaktører, der først fik adgang til et netværk ved at omgå og misbruge en tofaktorproces leveret af Duo.com og derefter udført lateral bevægelse i netværket ved hjælp af en Windows Print Spooler-sårbarhed (PrintNightmare CVE-2021-34527).

Som det hedder i rådgivningen:

“Russiske statsstøttede hackere fik indledende adgang [TA0001] til offerorganisationen via kompromitterede legitimationsoplysninger [T1078] og tilmeldte en ny enhed i organisationens Duo MFA. Skuespillerne fik legitimationsoplysningerne [TA0006] via brute-force-adgangskode gætteangreb [T1110.001], hvilket giver dem adgang til en offerkonto med en enkel, forudsigelig adgangskode. Offerkontoen var blevet afmeldt fra Duo på grund af en lang periode med inaktivitet, men blev ikke deaktiveret i Active Directory. Da Duos standardkonfigurationsindstillinger giver mulighed for gentilmelding af en ny enhed til sovende konti, var skuespillerne i stand til at tilmelde en ny enhed til denne konto, fuldføre godkendelseskravene og få adgang til offernetværket.

Ved hjælp af den kompromitterede konto, russiske statsstøttede cyberaktører udførte privilegieoptrapning [TA0004] via udnyttelse af sårbarheden “PrintNightmare” (CVE-2021-34527) [T1068] for at opnå administratorrettigheder. Skuespillerne ændrede også en domænecontrollerfil, c: \ windows \ system32 \ drivers \ etc \ hosts, omdirigere Duo MFA-opkald til localhost i stedet for Duo-serveren [T1556]. Denne ændring forhindrede MFA-tjenesten i at kontakte sin server for at validere MFA-login – dette deaktiverede effektivt MFA for aktive domænekonti, fordi standardpolitikken for Duo til Windows er at “mislykkes åben”, hvis MFA-serveren ikke kan nås. Bemærk: “Fail open” kan ske for enhver MFA-implementering og er ikke eksklusiv for Duo.”

Hvis du er Duo-bruger, skal du sørge for at angive en rimelig periode for inaktive brugere og sende dem til papirkurven samt fjerne dem fra Active Directory. Få en proces til at fjerne brugere fra din organisation på passende vis til at omfatte flytning eller arkivering af mail og andre ressourcer, der er unikke for den pågældende bruger, til en anden bruger i organisationen. Slutteligt bør man gennemgå sine multifaktorindstillinger og sørg for ikke at blive fanget i den form for bypass hacker-angreb.

Kilde: CSOonline

da Danish
X
Scroll til toppen