![]()
进网络安全行业群
在一个在线便利成为常态的时代,通过诈骗网站窃取身份的风险激增。随着越来越多的服务转向在线开展业务,被利用的可能性越来越大。这些网站对个人安全构成重大威胁,并破坏公众对我们现有数字基础设施的信任。Cofense网络钓鱼防御中心最近观察到的一个威胁旨在通过让个人上传各种政府身份证明文件的截图并打开他们的摄像头进行面部识别来窃取个人身份。诸如此类的网络钓鱼企图会给个人带来巨大的风险,并对组织或其周围的人产生深远的影响。![]()
图1 电子邮件正文
在上面的图1中,用户收到一封电子邮件,声明他们需要验证身份才能继续使用他们的帐户。失去功能或访问服务是引诱用户提交信息的一种流行方式。这封邮件制造了一种紧迫感,在保护账户的幌子下,提示收件人点击链接并提供个人信息。他们可能会声明,未能在特定时间内验证身份可能会导致访问受限或帐户暂停/删除。这种策略旨在操纵用户点击链接,通常没有花一秒钟来充分考虑请求的合法性。图2 验证码页面
点击恶意链接后,用户会看到一个伪装成验证码的网站(图2),要求他们“选择汽车图片以证明你是人。”乍一看,这似乎是一个合法的安全检查。这种验证码风格的页面不太常见,这使得它成为一种有趣的欺骗性策略。合法网站经常使用验证码挑战来增强安全性,因此许多用户可能会放松警惕,没有意识到他们正在与一个恶意网站打交道。此外,底部令人放心的文字(“不需要害怕,这是安全可靠的”)感觉不合适,过于令人放心,这应该会引起一些怀疑。![]()
经过验证码页面后,用户被重定向到一个网站,要求他们“验证您的身份”(图3)。该页面提示用户选择他们的ID颁发的国家和他们计划上传的文档类型,如护照、驾照或身份证。有几个迹象表明这个页面是非法的。首先,URL是一个主要的危险信号。agrosolosap.com与身份验证或任何官方政府或企业服务完全无关。合法验证页面通常使用与金融机构或政府机构相关联的可信域。此外,案文含糊不清,缺乏关于为什么需要核查的具体细节,这进一步引起了怀疑。真正的身份验证系统通常附有对其目的和用户期望的明确解释。![]()
图4 政府ID上传
在选择国家和文档类型时,用户会遇到一个页面,再次要求他们“验证您的身份”,但是这一次,它要求用户上传他们选择的ID类型的照片。该页面提示用户选择并上传几种文件格式之一的身份证正面。设计仍然和以前的页面一样简单,一个简单的图标代表一个ID和一个文件上传按钮。此外,底部有一个锁图标,并附有文本,声称“您的数据得到安全处理”,进一步试图说服用户这是一个安全合法的请求。![]()
图5 面部识别
在这种收集攻击的最后一页,用户会收到一个“自拍检查”的请求,指示他们“将自己的脸放在圆圈中”。这一步骤模仿了生物特征验证过程,后者在身份验证中变得越来越常见。在页面底部,有一个“开始记录”按钮,表明用户即将进行现场记录会话,以捕捉他们的面部图像进行验证。这种策略非常不寻常,不像更传统的诈骗企图那样常见。包含“自拍检查”和现场视频记录元素是一种更复杂的策略,利用了用户对生物识别验证系统越来越熟悉的优势。随着iPhone Face ID等生物识别技术的广泛使用,通过恶意网站复制或伪造生物识别数据的可能性引起了更大的担忧。人工智能技术通过为犯罪分子提供先进的工具来操纵和利用被盗信息,放大了面部数据盗窃的威胁。恶意网站越来越复杂,它们仿冒政府id并模仿面部验证,这对数据隐私构成了严重挑战。这些攻击破坏了对数字验证过程的信任,并使数百万用户面临身份被盗的风险。识别电子邮件中的危险信号,如普通问候、可疑链接或语法错误,有助于防止身份盗窃,并在日益数字化的世界中保护个人信息。为了有效减轻此类计划的影响,需要将增强的网络安全协议、公共教育和监管措施结合起来保护个人数据。
近日,Escape团队发布《API暴露现状报告2024》,揭示了全球超大型企业组织在API安全方面存在的重大漏洞。报告覆盖了财富1000强和CAC 40公司的API安全状况,特别指出了这些企业在API管理和防护上的显著缺陷。尤其是在金融、医疗、保险等行业,存在广泛的安全隐患。
Escape团队分析了财富1000强和CAC 40公司域名,发现了30,784个暴露的API,并识别出超过100,000个API漏洞,其中1,834个被评为高度严重。这些漏洞主要与身份验证失败和配置错误相关。Escape公司首席执行官Tristan Kalos指出:“API安全的规模化已成为企业面临的根本性挑战。随着API的广泛应用,企业的安全措施往往滞后,导致大量敏感数据暴露。”
其中,暴露的API还包括3,945个开发API,这些API通常没有采取足够的安全防护措施。作为开发过程中的一部分,这些API往往承担着测试、调试等重要职能,但却常常暴露在公共互联网上,成为攻击者的入口。报告指出,六家企业暴露了超过100个开发API,其中五家来自财富1000强公司。
除了暴露的API数量令人担忧外,报告还揭示了另一个重要问题——敏感数据的泄露。调查发现,共有1,816个敏感信息(如API密钥、身份验证令牌和数据库凭证)被暴露。这些数据如果被攻击者利用,将直接威胁企业的核心系统安全。
报告还对漏洞类型进行了详细分析,重点关注了以下几种严重安全风险:
身份验证失败(Broken Authentication):API2:2023漏洞是最常见的身份验证漏洞,报告中记录了381个实例。攻击者利用这些漏洞可以绕过身份验证机制,获取未授权的访问权限。
安全配置错误(Security Misconfigurations):报告还发现746个API存在配置错误实例,这类问题通常是由于缺乏适当的访问控制、暴露了关键端点或错误配置了API权限,导致企业的敏感数据和系统暴露在外。
这些漏洞与一些高风险的CVE(公共漏洞和暴露)相关,例如CVE-2024-5535和CVE-2021-3711,显示了企业在解决已知漏洞方面的长久困扰。
报告中的几个真实案例突显了API暴露带来的重大风险,进一步验证了加强API安全的迫切性。以下是一些近年来发生的典型安全事件:
Trello:2024年1月,由于API配置错误,Trello暴露了超过1500万个用户记录。攻击者可能利用这一漏洞获取用户信息,并进行后续攻击。
Dell:2024年5月,Dell因一个未加固的API端点导致4900万客户记录被泄露。泄露的内容包括个人信息、订单记录等敏感数据,给企业和用户带来了巨大的风险。
Twilio的Authy服务:Twilio的Authy服务在2024年发现一个API漏洞,攻击者通过该漏洞访问了认证数据,影响了数百万用户的安全。
为了应对API安全风险,报告提出了若干应对措施,旨在帮助企业减少API暴露和漏洞带来的潜在威胁:
全面审计API:企业应对所有API进行全面审计,特别是影子API和遗留API,确保每个API端点都已记录在案并受到监控。增强开发API的安全性:开发API的安全性往往被忽视,但它们承载着大量敏感数据,因此应当实施与生产环境API同等的安全措施,包括身份验证、权限控制和数据加密等。引入API发现工具:企业应采用自动化API发现和监控工具,持续扫描API环境中的潜在漏洞和配置错误,确保及时发现并修复问题。加强安全培训:许多API安全问题源于开发和运维人员的疏忽或不当配置。企业应定期对员工进行API安全培训,确保他们了解最佳的安全实践,从而在开发阶段就避免常见的安全漏洞。合作与信息共享:特别是在金融、医疗等高风险行业,企业应加强与行业内其他组织的安全合作与信息共享。通过共享API安全的最佳实践和威胁情报,共同提高防护能力。《API暴露现状报告2024》清晰地传递了一个信号:随着API的广泛应用和数字化转型的加速,API暴露的安全风险正在急剧上升。企业不能再依赖传统的反应性安全措施,而应转向更为主动的策略,利用自动化工具、AI技术和实时监控手段,确保API在整个生命周期内的安全性。企业领导者和IT安全团队必须意识到,API是数字化生态系统中的核心组成部分,其安全性直接关系到企业的整体安全和品牌声誉。只有通过全面的API安全管理和持续的防护措施,企业才能有效应对不断演化的威胁,保护客户和企业免受数据泄露和系统入侵的威胁。API安全的挑战不仅仅是技术问题,更是企业数字化转型过程中的战略问题。对于财富1000强企业来说,加强API安全已不容忽视,它是保障业务连续性、维护客户信任和提升企业竞争力的关键所在。
网络安全和基础设施安全局(CISA)应一家关键基础设施组织的请求,开展了一项红队评估(RTA)。 在RTAs期间,CISA 红队模拟真实世界的恶意网络操作,以评估一个组织的网络安全检测和响应能力。在与被评估组织的协调下,CISA发布了这份网络安全建议,详细说明了红队的活动,包括他们的战术、技术和程序(TTP)以及相关的网络防御活动。此外,该公告还包含从评估中获得的经验教训和关键发现,以便为网络维护者和软件制造商提供建议,从而改善其组织和客户的网络安全状况。
在此次评估中,红队(也称为“团队”)通过第三方之前的安全评估留下的web shell获得了初始访问权限。红队继续穿过非军事区(DMZ ),进入网络,全面破坏组织的域和几个敏感的业务系统(SBS)目标。接受评估的组织发现了红队最初活动的证据,但未能对通过其隔离区的恶意网络流量迅速采取行动,也未能质疑红队在组织的Windows环境中的存在。
红队能够危及组织的领域和SBSs,因为它缺乏足够的控制来检测和响应他们的活动。红队的发现阐明了网络卫士和软件制造商如何应对和降低风险的经验教训:
- 接受评估的组织没有足够的技术控制来防止和发现恶意活动。该组织过于依赖基于主机的终端检测和响应(EDR)解决方案,并且没有实施足够的网络层保护。
- 组织的员工需要持续的培训、支持和资源来实施安全的软件配置和检测恶意活动。工作人员需要不断提高他们的技术能力,获得更多关于其系统的机构知识,并确保管理层向他们提供足够的资源,使他们具备成功保护其网络的条件。
- 本组织的领导层最大限度地降低了本组织已知攻击媒介的业务风险。领导层对他们自己的网络安全团队发现的漏洞的处理不重视,并且在基于风险的决策中,错误估计了漏洞被利用的潜在影响和可能性。
为了降低类似恶意网络活动的风险,CISA鼓励关键基础设施组织应用缓解措施部分,以确保安全流程和程序是最新的、有效的,并能够及时检测和缓解恶意活动。
本文档说明了关键基础设施所有者和运营商为补偿不安全的软件和硬件所承担的巨大负担和成本。对所有者和经营者应该保持必要的复杂网络防御技能的期望造成了不必要的风险。技术制造商必须承担产品安全的责任。认识到不安全的软件会导致这些问题,CISA敦促软件制造商设计安全原则并实施本公告缓解部分中的建议,包括下列建议:
(防御加固、威胁情报、渗透测试、漏洞、代码审计、勒索病毒、CTF、逆向)
