如何避免賬戶被劫持

常莽

近日，有報道稱，一種新的惡意軟件正在通過針對LinkedIn賬戶的網絡釣魚活動劫持Meta Facebook Business和廣告平臺賬戶。研究人員表示，這種名為Ducktail的惡意軟件使用來自經過身份驗證的用戶會話的瀏覽器cookie來接管賬戶，并最終劫持受害者有權訪問的任何Facebook Business賬戶，竊取相關數據。

賬戶劫持

賬戶劫持（Account Hijacking）是控制他人賬戶的行為，目的通常是竊取個人信息、冒充或勒索受害者。賬戶劫持作為一種常見的攻擊類型，執行起來卻并不容易，為了成功實施攻擊，攻擊者必須提前弄清楚受害者的密碼。

企業賬戶被劫持會帶來巨大的安全威脅。例如，在上述“Facebook企業賬戶被劫持”事件中，為了滲透賬戶，攻擊者針對Linkedln用戶發起一場網絡釣魚活動，該活動使用與品牌、產品和項目規劃相關的關鍵字來引誘受害者下載包含惡意軟件可執行文件以及相關圖像、文檔和視頻文件的存檔。

據了解，惡意軟件從Facebook竊取的具體信息包括安全憑證、個人賬戶識別信息、業務詳細信息和廣告賬戶信息。此外，研究人員表示，Ducktail還允許威脅行為者對Facebook商業賬戶進行完全管理控制，這可以讓他們訪問用戶的信用卡或其他交易數據以獲取經濟利益。

雖然，此次新型惡意軟件Ducktail能夠利用經過身份驗證的Facebook會話從受害者的Facebook賬戶中竊取信息。但一般情況下，保護企業賬戶、身份和訪問管理仍然是一個很好的解決方案。

學會利用多因素的身份驗證

例如，企業可以在VPN端點上實施RADIUS認證，要求出示唯一憑證后才可訪問。RADIUS認證比使用共享憑證安全得多，但如果用戶憑證還是不幸被泄露，就需要額外的保護措施。此時，多因素的身份認證就有了用武之地，例如，在VPN和RDP系統登錄時要求用戶出示二次認證因素會讓登錄過程的安全性進一步提升。目前，有幾類驗證因素已經可以完全防止機器人暴力破解，并且對于其他針對性攻擊也同樣有效。

同時，企業還必須考慮自動訪問應用的各種方法，如用于Web API的TLS相互認證的證書，以及認證令牌和所使用的API密鑰。但關鍵問題是，要理解用戶如何登錄，并且為每種訪問方法采取適當的保護措施。

訪問權限管控

例如，在企業云賬戶管理中，會計部門往往要求訪問云供應商控制臺的付款和賬單部分，但是負責監視IaaS環境中的對象的運營工程師們有可能并不需要訪問詳細的賬單記錄。其中，會計部門的哪些成員能夠創建新的存儲空間、啟動新的虛擬實例，或者是對運行在無服務器PaaS中的功能做出更改，而哪些又不能呢？這就是訪問權限管控（例如“最小化權限”），企業要禁止一些非必要訪問。

信任但要驗證

正如對待諸如Windows的域賬戶等內部賬戶一樣，企業的安全管理者也應當定期地驗證訪問等級是否適當。

要建立終止和工作的變更程序，以確保在個人放棄或改變角色時能夠進行相應調整；要審核憑據的使用，確保其作用得到有效發揮；還要考慮是否存在一些工具，諸如在企業的訪問策略中能夠扮演某種角色的特權身份管理工具。其中，特權身份管理工具有助于記錄憑據的使用，這類工具的審計功能有助于記錄系統、賬戶的訪問痕跡。