知名企业网络平台的用户帐密向来是黑客眼中好目标,但是一项研究发现,黑客论坛或暗网交易市场虽然许多人销售Slack的帐密,实则却不太好卖。但是研究人员认为可能只是目前如此。
企业网络平台的用户帐密很受网络罪犯欢迎,因为拿到后可以用来黑入用户公司的内部系统。上周推特发生黑客访问推特后台,借变更2FA和回复设置来接管名人账号并发送比特币诈骗消息。至于黑客如何访问推特内部管理系统,有人猜测是内部员工被收买,另一个理论是攻击者可能黑入推特的内部Slack频道,找到管理系统的用户帐密。
安全厂商KELA指出,黑客论坛或暗网交易市场上可以很容易找到由窃密者或木马程序搜集到的Slack登录资料。该公司在数个市场上搜索到超过1.7万笔Slack帐密正在兜售僵尸网络服务,分属1.2万个不同的工做空间(workspace),每台僵尸机器人叫价0.5美元到300美元不等。若只看以格式化电子邮件登录的工做空间,则有4300多个符合条件;实体企业偏向使用这种电子邮件格式来注册工做空间。研究分析,4300多个工做空间包含政府部门、银行、保险公司,都刚好是黑客最爱的攻击目标。
虽然黑客市场的供给端很热烈,但需求端却相对冷淡。研究人员发现一名黑客在暗网交易市场发布出售Slack帐密的消息将近一年,却没有任何人回应。他们也发现地下论坛几乎没什么人讨论利用Slack帐密攻击的方法,显示网络罪犯对攻击Slack兴趣缺缺。
研究人员认为,利用Slack帐密获利,至少到现在黑客界还没发展出好用的策略、工具和程序(TTP)。从技术层面,研究人员推测原因之一是不容易识别出使用的组织;虽然枚举出Slack工做空间很容易,但要证明很不容易,因为用户可以自己选择列在URL中的组织名称,这让攻击者很难发现切入机会。其次Slack原生支持多家SSO(single sign-on),让攻击无法以被窃的帐密经由Slack入侵用户公司应用程序。在KELA找到的1.2万个工做空间中,许多还只支持SSO登录。此外,成本效益不高;取得Slack帐密只能发送钓鱼消息,但又不像电子邮件能大量发送。能通过Slack交谈获取敏感文件,但不保证成功,虽然黑入推特的事件“成效”很显著。
但是研究人员并不认为Slack用户可以完全安心。首先,他们认为已有高端渗透攻击(APT)和国家资助的黑客已经开始攻击Slack,因为他们并不在乎什么成本效益或难度高低。而且,网络犯罪产业的“服务化”、自动化,如提供僵尸网络服务,以及技术演进,前述的技术难度终将会克服,也使攻击成本降低。