请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

搜索
热搜: 邮件服务器
查看: 244|回复: 0

【原创】五招监控账号劫持活动(2)

[复制链接]
发表于 2021-3-26 12:58:00 | 显示全部楼层 |阅读模式
3.横向网络钓鱼(Lateral Phishing)邮件
前面介绍的两种方法主要检测是否有人正在尝试劫持账号。下面我们讨论的方法则是关注如何发现已经得手的云账号劫持攻击。
通常,那些横向网络钓鱼邮件都源自某个已被劫持的账号。由于此类电子邮件是从内部合法账号所发出,因此我们使用传统的网络钓鱼过滤程序,很难检测到横向网络钓鱼的行为。而且由于具有合法性与隐蔽性,因此它在绕过大多数安全防护机制的同事,还会蔓延到应用内部的其他账号上。
最近有研究(https://www.csoonline.com/article/3433736/threat-spotlight-lateral-phishing.html)发现:在过去的七个月时间里,有七分之一的受访组织至少遭受过一次横向网络钓鱼攻击。其中有154个被劫持的账号,曾经向100,000多名指定接收者发送过横向网络钓鱼邮件。该报告还指出:在这些接收者中,大约40%是同组织的同事,而其余的是各种私人、客户、合作伙伴、以及供应商类型的账号。
通常,我们会采用传统的邮件传输代理(MTAmail transfer agents)和网络钓鱼过滤程序,防范来自组织外部的钓鱼攻击。但是,由于被劫持的账号发生在内网,因此这些安全工具缺乏从内部检测到钓鱼攻击的能力。而新兴的云安全解决方案,则能够实现扫描入向与出向的邮件、邮件中包含的附件、以及共享盘上的钓鱼链接和恶意软件等。
4.恶意的OAuth连接
如今,通过OAuthSaaS应用程序连接到云端环境之中,已经变得稀松平常。但是,您可能无法简单地分辨出那些恶意的OAuth连接,它们会直接导致云端应用的账号被劫持。
那么此类连接是如何产生的呢?黑客通常会创建一个需要对用户的GmailOutlook 365账号具有读取、写入和获取权限的应用程序。该应用通过合法的OAuth连接,被授予了相应的权限。黑客们据此可以直接通过用户的账号,发送带有网络钓鱼链接的电子邮件,而无需真正登录到他们所劫持账号上。而且更狡猾的是,此类电子邮件完全不会被企业内既有的传统网络钓鱼过滤程序和MTA所检测到。
因此,如果您在云端环境中检测到了某个危险或恶意的OAuth连接,那么第一步就是要直接阻断该连接。接着,您应该联系该连接账号的持有人,询问其是否允许了不明的应用程序。在建议用户立即重置其账号登录密码的同时,您还应该协助审查是否有文件或其他关联账号遭到了破坏。
5.异常的文件共享和下载
众所周知,账号劫持只是途径,并非目的。攻击者真正想要的是诸如:用户社会安全号码、姓名、地址、电话号码、健康信息、财务信息、以及知识产权内容等敏感且专有的数据。因此,如果您的云安全平台检测到某个账号正在(或尝试着)向本组织以外的某个目标共享敏感信息、或者提供下载的话,那么该账号显然已被劫持了。您需要立即关停该账号,强制重设密码,审查现有应用环境中的其余部分,并确认其他账号是否也受到了此类攻击。
综上所述,如果您的组织正在通过云端应用来提供或使用电子邮件、文件共享、以及存储等服务的话,请通过针对云服务设计的安全平台,来监控、检测和自动化与账号劫持相关的攻击行为,以提高现有云端数据和业务的安全态势。

【原标题】5 Ways To Monitor foran Account Takeover  (作者: Katie Fritchen   )
原文链接:https://dzone.com/articles/5-ways-to-monitor-for-an-account-takeover  

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 思科 CCO 登录 | 思科 CCO 注册   

本版积分规则

Archiver | 思科社区  

GMT+8, 2021-4-13 15:28 , Processed in 0.069671 second(s), 28 queries .

京ICP备11014401号-17

© 2020 思科系统.版权所有 重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表