近日，有報(bào)道稱，一種新的惡意軟件正在通過(guò)針對(duì)LinkedIn帳戶的網(wǎng)絡(luò)釣魚(yú)活動(dòng)劫持備受關(guān)注的Meta Facebook Business和廣告平臺(tái)帳戶。研究人員表示，這種名為Ducktail的惡意軟件使用來(lái)自經(jīng)過(guò)身份驗(yàn)證的用戶會(huì)話的瀏覽器cookie來(lái)接管帳戶，并最終劫持受害者有權(quán)訪問(wèn)的任何Facebook Business帳戶，竊取相關(guān)數(shù)據(jù)。

什么是賬戶劫持？

帳戶劫持（Account hijacking）是控制他人賬戶的行為，目的通常是竊取個(gè)人信息、冒充或勒索受害者。賬戶劫持作為一種常見(jiàn)的攻擊類型，執(zhí)行起來(lái)卻并不容易，為了成功實(shí)施攻擊，攻擊者必須提前弄清楚受害者的密碼。

企業(yè)賬戶被劫持可帶來(lái)巨大的安全威脅。例如，在上述“ Facebook 企業(yè)帳戶被劫持”事件中，為了滲透帳戶，攻擊者針對(duì)Linkedln用戶發(fā)起一場(chǎng)網(wǎng)絡(luò)釣魚(yú)活動(dòng)，該活動(dòng)使用與品牌、產(chǎn)品和項(xiàng)目規(guī)劃相關(guān)的關(guān)鍵字來(lái)引誘受害者下載包含惡意軟件可執(zhí)行文件以及相關(guān)圖像、文檔和視頻文件的存檔文件。

據(jù)了解，惡意軟件從Facebook竊取的具體信息包括：安全憑證、個(gè)人帳戶識(shí)別信息、業(yè)務(wù)詳細(xì)信息和廣告帳戶信息。此外，研究人員表示，Ducktail還允許威脅行為者對(duì)Facebook商業(yè)帳戶進(jìn)行完全管理控制，這可以讓他們?cè)L問(wèn)用戶的信用卡或其他交易數(shù)據(jù)以獲取經(jīng)濟(jì)利益。

雖然，此次新型惡意軟件Ducktail能夠利用經(jīng)過(guò)身份驗(yàn)證的Facebook會(huì)話從受害者的Facebook帳戶中竊取信息。但一般情況下，保護(hù)企業(yè)賬戶，身份和訪問(wèn)管理仍然是一個(gè)很好的解決方案。

學(xué)會(huì)利用多因素的身份驗(yàn)證

例如，企業(yè)可以在VPN 端點(diǎn)上實(shí)施 RADIUS 認(rèn)證，要求出示唯一憑證后才可訪問(wèn)。RADIUS 認(rèn)證比使用共享憑證要安全得多，但如果用戶憑證還是不幸被泄露，那么就需要額外的保護(hù)措施。

而在這時(shí)，多因素的身份認(rèn)證就有了用武之地。例如，在VPN 和 RDP 系統(tǒng)登錄時(shí)要求用戶出示二次認(rèn)證因素會(huì)讓登錄過(guò)程的安全性進(jìn)一步提升。目前，有幾類驗(yàn)證因素已經(jīng)可以完全防止機(jī)器人暴力破解，并且對(duì)于其他針對(duì)性攻擊也同樣有效。

同時(shí)，企業(yè)還必須考慮自動(dòng)訪問(wèn)應(yīng)用的各種方法，如用于Web API的TLS相互認(rèn)證的證書(shū)，以及認(rèn)證令牌和所使用的API密鑰。但關(guān)鍵問(wèn)題是，要理解用戶如何登錄，并且為每種訪問(wèn)方法采取適當(dāng)?shù)谋Ｗo(hù)措施。

訪問(wèn)權(quán)限管控

例如，在企業(yè)云賬戶管理中，會(huì)計(jì)部門往往要求訪問(wèn)云供應(yīng)商控制臺(tái)的付款和賬單部分。負(fù)責(zé)監(jiān)視IaaS環(huán)境中的對(duì)象的運(yùn)營(yíng)工程師們有可能并不需要訪問(wèn)詳細(xì)的賬單記錄。其中，會(huì)計(jì)部門的哪些成員能夠創(chuàng)建新的存儲(chǔ)空間、啟動(dòng)新的虛擬實(shí)例，或者是對(duì)運(yùn)行在無(wú)服務(wù)器的PaaS中的功能做出更改，而哪些又不能呢？這就是訪問(wèn)權(quán)限管控，如“最小化權(quán)限”，企業(yè)要禁止一些非必要訪問(wèn)。

信任但要驗(yàn)證

正如對(duì)待諸如Windows的域賬戶等內(nèi)部賬戶一樣，企業(yè)的安全管理者也應(yīng)當(dāng)定期地驗(yàn)證訪問(wèn)等級(jí)是否適當(dāng)。

要建立終止和工作的變更程序，以確保在個(gè)人放棄或改變角色時(shí)能夠進(jìn)行相應(yīng)調(diào)整；要審核憑據(jù)的使用，確保其作用得到有效發(fā)揮；還要考慮是否存在一些工具，諸如在企業(yè)的訪問(wèn)策略中能夠扮演某種角色的特權(quán)身份管理工具。其中，特權(quán)身份管理工具有助于記錄憑據(jù)的使用，如這類工具的審計(jì)功能有助于記錄系統(tǒng)、賬戶的訪問(wèn)痕跡。