圖片來源: 

Slack

知名企業網路平臺的用戶帳密向來是駭客眼中好目標,但是一項研究發現,駭客論壇或暗網交易市集雖然許多人販售Slack的帳密,實則卻不太好賣。但是研究人員認為可能只是目前如此。

企業網路平臺的用戶帳密很受網路罪犯歡迎,因為拿到後可以用來駭入用戶公司的內部系統。上周推特發生駭客存取推特後臺,藉變更2FA和回復設定來接管名人帳號並發送比特幣詐騙訊息。至於駭客如何存取推特內部管理系統,有人猜測是內部員工被收買,另一個理論是攻擊者可能駭入推特的內部Slack頻道,找到管理系統的用戶帳密。

安全廠商KELA指出,駭客論壇或暗網交易市集上可以很容易找到由竊密者或木馬程式蒐集到的Slack登入資料。該公司在數個市集上搜尋到超過1.7萬筆Slack帳密正在兜售殭屍網路服務,分屬1.2萬個不同的工作空間(workspace),每臺殭屍機器人叫價0.5美元到300美元不等。若只看以格式化電子郵件登入的工作空間,則有4300多個符合條件;實體企業偏向使用這種電子郵件格式來註冊工作空間。研究分析,4300多個工作空間包含政府部門、銀行、保險公司,都剛好是駭客最愛的攻擊目標。

雖然駭客市場的供給端很熱烈,但需求端卻相對冷淡。研究人員發現一名駭客在暗網交易市集張貼出售Slack帳密的訊息將近一年,卻沒有任何人回應。他們也發現地下論壇幾乎沒什麼人討論利用Slack帳密攻擊的方法,顯示網路罪犯對攻擊Slack興趣缺缺。

研究人員認為,利用Slack帳密獲利,至少到現在駭客界還沒發展出好用的策略、工具和程式(TTP)。從技術層面,研究人員推測原因之一是不容易辨識出使用的組織;雖然列舉出Slack工作空間很容易,但要證明很不容易,因為用戶可以自己選擇列在URL中的組織名稱,這讓攻擊者很難發現切入機會。其次Slack原生支援多家SSO(single sign-on),讓攻擊無法以被竊的帳密經由Slack 入侵用戶公司應用程式。在KELA找到的1.2萬個工作空間中,許多還只支援SSO登入。此外,成本效益不高;取得Slack帳密只能發送釣魚訊息,但又不像電子郵件能大量發送。能透過Slack交談獲取敏感檔案,但不保證成功,雖然駭入推特的事件「成效」很顯著。

但是研究人員並不認為Slack用戶可以完全安心。首先,他們認為已有進階滲透攻擊(APT)和國家資助的駭客已經開始攻擊Slack,因為他們並不在乎什麼成本效益或難度高低。而且,網路犯罪產業的「服務化」、自動化,如提供殭屍網路服務,以及技術演進,前述的技術難度終將會克服,也使攻擊成本降低。


Advertisement

更多 iThome相關內容