駭客為了入侵企業的網路環境,其中最常見的做法,就是對員工從事網釣或社交工程攻擊而得逞,不過,去年有一種手法特別引人注目,那就是利用IT服務臺驗證機制的弱點,假冒員工要求重設密碼,以及重新註冊多因素驗證(MFA)綁定的裝置,進而挾持部分員工帳號,以便存取企業內部網路環境。然而,最近有一起資安事故相當特別,駭客竟是對IT服務臺下手,從而在沒有入侵企業網路環境的情況下,洗劫員工的血汗錢。
資安公司Palo Alto Networks揭露一起透過社交工程得逞的薪水海盜(Payroll Pirates)攻擊行動,駭客先假冒員工向受害企業的多個IT服務臺撥打電話,這些服務臺同時提供IT、人力資源(HR),以及薪資業務方面的服務。攻擊者企圖操弄多個IT服務臺,然後成功繞過挑戰碼與回應形式的身分驗證機制,騙過服務臺的客服人員,並執行重設密碼與重新綁定多因素驗證的裝置,最終竄改薪資系統多名員工的銀行帳號,將相關款項轉到攻擊者控制的帳戶。受害企業直到員工投訴薪水遲遲未入帳,才驚覺有異,並尋求威脅情報團隊Unit 42協助調查此事。
Palo Alto Networks提及,駭客從社群平臺輕鬆取得相關公開資訊,而能繞過IT服務臺的驗證。在許多情況下,攻擊者甚至會多次撥打電話,探查所問的驗證問題類型,從而收集所需的資料。隨著社群平臺持續擴大個人與專業資料的數量,這項偵察變得比以往更容易。
此外,駭客為了建立持久的存取管道,他們試圖透過外部電子郵件信箱,作為驗證Azure AD環境中服務帳號的方法。這突顯駭客明確的長期存取意圖,並非只是單純的薪資轉移。
一旦成功進入薪資系統,攻擊者便迅速行動,他們入侵了多個員工帳號,每個帳號都授權存取敏感的薪資資訊。攻擊者隨後修改多名員工的存款資料,將他們的薪資轉入攻擊者控制的銀行帳戶。
由於憑證有效且多因素驗證的流程看起來合法,這些活動融入了正常運作,此事件是在員工通報薪資支票遺失後,才被發現的。這引發了內部調查,追蹤到可疑帳號變更的歷史,攻擊活動可追溯到數週前。
Unit 42介入調查後進一步確認,這起事故只有造成特定帳號資料,以及部分員工薪水被轉走,目前尚未發現駭客進行橫向移動或是外洩其他資料的跡象。附帶一提的是,他們竟然在受害企業的OT環境裡,意外發現勒索軟體WannaCry潛伏多年的情形。
熱門新聞
2026-01-19
2026-01-20
2026-01-16
2026-01-20
2026-01-21
2026-01-19