FBI、CISA 对企业虚拟专有网访问凭据攻击“Vishing”带来的威胁发出警告

美国联邦调查局(FBI)和网络安全与基础设施安全局(CISA)周四发布联合预警，警告针对公司的语音钓鱼或 “vishing “攻击的威胁越来越大。在发布深入研究一个提供服务的犯罪集团后不到24小时，KrebsOnSecurity就发表了一篇文章，该集团提供的服务是人们可以在COVID-19大流行期间雇用他们从远程工作的员工那里窃取VPN凭证和其他敏感数据。

http://hackernews.cc/wp-content/uploads/2020/08/d1a3f58f3d75c85.png

“COVID-19大流行导致大规模转向在家工作，导致企业虚拟专用网络（VPN）的使用增加，在2020年7月中旬，网络犯罪分子开始了一场名为vishing的活动–以无差别获得多家公司员工工具的访问权–最终目标是将访问权货币化。”

正如周三的报道所指出的那样，这些机构表示，攻击者设置的钓鱼网站往往连字符、目标公司的名称和某些词语都非常具有指向性–如 “支持”、”票据 “和 “员工”。作案者专注于对目标公司的新员工进行社会工程，并冒充目标公司IT服务台的工作人员。

FBI/CISA的联合警报称，vishing团伙还利用社交媒体平台上的公共档案、招聘人员和营销工具、公开的背景调查服务以及开源研究，大规模搜刮特定公司的员工档案。从警报中可以看出。

“作案者先是使用未经归属的网络电话（VoIP）号码 拨打目标员工的个人手机，随后开始结合其他办公室和受害者公司员工的虚假号码。行为人使用社会工程技术，在某些情况下，冒充受害者公司IT服务台的成员，利用他们对员工个人身份信息的了解–包括姓名、职位、在公司的时间和家庭住址–来获得目标员工的信任。”

“然后，行为人说服目标员工将发送一个新的VPN链接，并要求他们登录，包括任何2FA[双因素认证]或OTP[一次性密码]的安全凭据也一并通过这种方法获取，随后他们记录员工提供的信息，并实时使用该员工的账户访问企业工具。”

警报指出，在某些情况下，毫无戒备的员工批准了2FA或OTP提示，或者是意外地批准了。除此之外，攻击者能够通过针对员工的SIM卡交换来拦截一次性代码，这涉及到移动电话公司的社会工程人员，让他们控制目标的电话号码。

这些机构表示，骗子利用被盗用的VPN凭证在受害者公司数据库中挖掘客户的个人信息，以便在其他攻击中加以利用。

“然后，行为人利用员工的访问权限对受害者进行进一步的研究，和/或使用取决于被访问的平台的不同方法来欺诈性地获得资金，”警报中写道。”货币化方法根据公司的不同而不同，但具有高度的侵略性，在最初的违规行为和破坏性的兑现计划之间有一个紧凑的时间表。”

该警告包括一些公司可以实施的建议，以帮助减轻这些vishing攻击的威胁，包括。

– 限制VPN连接仅用于受管理设备，使用硬件检查或安装证书等机制，因此仅靠用户输入不足以访问企业VPN。

– 在适用的情况下，限制VPN的访问时间，以减轻允许时间以外的访问。

– 采用域名监控，跟踪企业、品牌域名的创建或变更。

– 积极扫描和监控网络应用，以防止未经授权的访问、修改和异常活动。

– 采用最低权限原则，实施软件限制政策或其他控制措施；监控授权用户的访问和使用。

– 考虑对通过公共电话网络进行的员工与员工之间的通信采用正式的认证程序，并在其中使用第二种因素，以在讨论敏感信息之前，对电话进行认证。

– 改进2FA和OTP信息传递，以减少员工认证尝试的混乱。

– 确认网络链接没有拼写错误或包含错误的域名。

– 将正确的企业VPN URL加入书签，不要仅凭呼入的电话访问其他URL。

– 对自称来自合法组织的不明身份者的主动电话、访问或电子邮件信息要保持警惕。不要提供个人信息或有关您的组织的信息，包括其组织结构、组织结构和组织结构。

（稿源：cnBeta，封面源自网络。）