版权归原作者所有,如有侵权,请联系我们

视频会议再出安全问题

CCF计算机科普
由中国计算机学会主办,提供优质的计算机科普内容。
收藏

一、视频会议安全问题频出

大东:小白,还没开学呢?

小白:是呀,疫情不结束,学校不开学。

大东:在线授课还习惯吗?

小白:哈哈,还挺有意思,大东东怎么突然关心起这个,是在线课堂又出了什么问题吗?

大东:不是在线课堂出问题,是视频会议又爆安全问题了。

小白:前排吃瓜!

大东:4月8日,世界头号网络会议供应商Cisco旗下的在线会议软件“WebEx”被Cofense网络钓鱼防御中心曝出相关钓鱼活动。

小白:哇,这次是啥问题?

大东:根据Cofense网络钓鱼防御中心发现的钓鱼活动,有攻击者蹭上了远程办公热点,伪造WebEx安全警告的钓鱼邮件,且钓鱼邮件未被思科邮件防火墙捕获,借此诱导用户通过钓鱼链接进行“更新”,试图窃取WebEx凭据,以访问网络电话会议并盗取参与者共享的敏感文件和数据。

小白:听起来很高级的样子!求大东东详解!

Cisco webex(图片来自网络)

二、大话始末

小白:今时不同往日,在这个钓鱼邮件满天飞的特殊时期,是何等“高明”的钓鱼邮件能一边躲过各大安全厂商的围追截堵,一边骗过受过多次教育的用户呀?!

大东:那就是——真实。

小白:啥玩意儿?

大东:这是钓鱼攻击成功的唯一核心要素,整个钓鱼过程太逼真了。

小白:哦?

大东:即使是看惯了高仿货的人,也难免会因为看走眼,栽在精仿货的身上。

小白:那我更好奇了~

大东:本次钓鱼活动的攻击者设下的四个陷阱,让用户怎么也逃不过重重套路。

小白:他来了他来了~

大东:在整个攻击之初,攻击者发送了一封主题为“安全警报”的电子邮件,内含欺骗性的地址“meetings [@] webex [。] com”(为防止读者误点击,地址进行了处理),引起了用户的关注。

钓鱼邮件(图片来自网络)

小白:这一点好像还没什么特别之处。

大东:接下来就是攻击者的第一个陷阱——逼真的高危漏洞警告。电子邮件内容说明用户存在一个必须修补的高风险漏洞,该漏洞必须允许未经身份验证的用户安装“在系统上具有高特权的Docker容器”。攻击者用真实内容解释完该漏洞问题后,甚至链接了该漏洞的合法文章,邮件内容中的漏洞编号“CVE-2016-9223”文本,直接链接了该文章URL:hxxps:// cve [。] mitre [。] org / cgi-bin / cvename.cgi?name = CVE-2016-9223。

小白:天呐,竟然还有CVE编号?我已经信了!

大东:没错,就算是大多数具有安全意识的用户,都会按照电子邮件中的说明进行操作,选择立即“更新”。接下来就是陷阱二——以假乱真的URL链接。

小白:还有陷阱!

大东:没错,即使还有更谨慎的用户心存疑虑也无济于事,攻击者还精心设计了邮件“加入(安装/更新)”按钮嵌入的URL:hxxps://globalpagee-prod-webex [。] com / signin,而合法的Cisco WebEx URL则为:hxxps://globalpage-prod [。] webex [。]com / signin。

小白:这俩有什么区别么?

大东:乍一看,这两个URL看起来非常相似,但是仔细观察,发现攻击者在“globalpage”中添加了一个额外的“ e”。同样,恶意链接不是“prod.webex”,而是“prod-webex”。

小白:我已经眼花了。

大东:别虚,还有陷阱三——为欺诈域名申请SSL证书,狡猾的攻击者在进行攻击前就已经通过Public Domain Registry注册了一个欺诈域名,甚至为自己的欺诈域名申请SSL证书,从而获得最终用户的进一步信任。

小白:专业的啊!

大东:官方的Cisco证书是通过HydrantID验证的,而攻击者的证书是通过Sectigo Limited验证的。无论谁验证了攻击者的证书,结果都是相同的:一个锁出现在URL的左侧。用户重定向到的网络钓鱼页面与合法的Cisco WebEx登录页面相同,在视觉上没有区别。

*钓鱼页面(图片来自网络)*小白:我们用户太难了。

大东:还有更难的陷阱四——将用户定向到官网以证明合法性。

小白:什么??竟然还敢定向到官网!

大东:即使在用户提供WebEx凭据后,攻击者也没有掉以轻心,继续将用户导流到Cisco官方网站以下载WebEx。这足以说服大多数用户相信,这次更新WebEx应用程序是合法的。

小白:太厉害了!我早已跪在第一轮了……

大东:高真实度的陷阱与钓鱼过程环环相扣,成功的钓鱼攻击背后,没有一个步骤是无辜的。

三、如何防范

大东:Zoom、WebEx这些远程办公软件相继爆雷,早在远程办公这股风暴席卷全球时,网络攻击者就已经站在了风里。

小白:话说回来,Zoom、WebEx问题的根源还是近期疫情突发引起的远程办公啊!

大东:迅速崛起的远程办公需求,为网络攻击者提供了一个新的攻击思路。仅春节期间,在我国7亿+工作人口中,就有超过3亿远程办公人员,这个比例放之全球也是只多不少。甚至,我们预测,2024-2025年全球将有1.23亿人步入远程办公。

小白:巨大的用户量吸引了攻击者的注意力。

大东:很显然,已经为人鱼肉的各大远程办公软件并没有意识到这一点,以Zoom、WebEx为首的多数软件没有做好准备,以至于成为攻击者最先锁定的攻击对象。

小白:大东东,这么高级的钓鱼邮件,我们该如何防范呀?

大东:作为用户,要避免点击邮件中的链接,如果觉得不对劲,仔细查看发送邮箱。对于外贸网站或者邮箱服务器的邮件,到该外贸网站或者邮箱后台去检查一下。对于要求提供隐私的网站,更要请谨慎对待。最后就是要定期修改密码,定期进行木马查杀。

小白:道理我都懂,但是,唉……

大东:一旦你发现你被钓鱼之后,尽快修改密码,可以去邮箱后台查看有没有被设置,比如设置邮件密送给某些邮件。对于重要信息,比如公司账号修改等,最好立刻打电话向IT部门求助。

小白:记住啦~