笨賊一籮筐?駭客把竊來的企業密碼放在公開網路頓失價值
駭客竊取企業用戶帳密是為了有利可圖,像是集結起來賣給其他駭客。不過有時駭客也會犯錯,像是把好不容易竊來的用戶帳密放在公開伺服器上,讓所有人都能以Google搜尋、分一杯羹。
安全廠商Checkpoint 近日調查一宗8月起流傳的釣魚信件攻擊。該釣魚信件偽裝成知名企業,傳給了大量用戶。
信件為很典型的攻擊手法,內容為由惡意HTML檔,看似來自Xerox或Xeros,點入信件附檔會跳出一個訊息,宣稱是有密碼防護的Office 365檔案,需要使用者輸入才能開啟。一旦使用者輸入帳密,就會被蒐集帳號密碼。研究人員分析有近500筆無辜受害者被取得Office 365帳密。
Checkpoint分析,駭客是先駭入數十個知名公司網站的WordPress伺服器,將惡意郵件PHP網頁發送到受害者信箱,並將受害者輸入的帳密儲存在這些WordPress 網站上。這作法也合理,因為這些網站的高知名度也使其發送的釣魚信件較不容易被過濾掉。事實上,60多個安全產品都未能掃瞄辨識出這個釣魚信件。
但研究人員指出,駭客犯的唯一一個錯誤是將這些資料存在可被Google或其他搜尋引擎索引的檔案中,以致於任何人可以透過Google搜尋到這些被竊電子郵件信箱和密碼。這一名駭客等於是將自己辛苦的成果免費讓其他駭客享用。
分析這名駭客蒐集的資訊,Checkpoint判斷最主要受害產業是營建業、能源、IT業,所幸這些密碼可能也不是全然是真實帳密。但研究人員指出,這再度顯示,只要有心,網路上真的隨時可以找到被竊的密碼,也突顯定期變更密碼或使用無密碼、多因素驗證(MFA)的重要性。
來源:Ars Technica