微软遭 Lapsus$ 黑客组织入侵，背后的骚操作防不胜防( 二 ) _黑客组织

至于具体操作，包括三种：

1、向目标用户发送一堆 MFA 请求，迫使用户接受其中一个来终止更多骚扰。
2、每天发送一到两个提示，尽管这种方法吸引的注意力较少，但“仍然有一个很好的机会，令目标用户接受 MFA 请求。”
3、给目标用户打电话，假装是公司的一部分，告诉用户需要发送 MFA 请求作为公司流程的一部分。

文章插图

尽管如今已经证明， MFA 也有漏洞可循，但整体来看，任何形式的 MFA 还是比不使用 MFA 要好得多。
【微软遭 Lapsus$ 黑客组织入侵，背后的骚操作防不胜防】此外，在微软所披露的报告中，还有一个手法值得关注：SIM 卡交换攻击。
简单来说，就是冒充你给 SIM 卡运营商打电话，挂失并补办一张新 SIM 卡。攻击者拿到卡后，通过另一支手机开机，使用补办的 SIM 卡接管你的手机号码，接收你的短信验证码等信息，通过重置账号密码的方式，入侵你的多个账户。

文章插图

就是这样一个看起来毫无技术含量的手法，在 2018 年 1 月至 2020 年 12 月期间， FBI 互联网犯罪投诉中心收到的报案数量达 320 起，涉及总金额高达 1200 万美元。而 2021 年全年，报案数字更是上升到了 1611 起，涉案金额升至 6800 万美元。
SIM 卡交换攻击根本无需绕过手机复杂的安全机制，一旦攻击成功，真实用户的电话就会失去网络连接，无法拨打或接听电话，而攻击者就可以为所欲为。
除 SIM 卡交换攻击外，还有一种攻击手段值得关注：SIM 卡克隆攻击。
2015 年，全球最大的 SIM 卡芯片制造商 Gemalto 遭黑客入侵， SIM 卡的关键秘钥 KI 疑似遭到窃取。
SIM 卡克隆，是一个非常专业的技术过程，但核心的参数只有两个：IMSI ， KI 。

IMSI ，全称 International Mobile Subscriber Identification Number ，国际移动用户识别码，长度不超过 15 位，相当于 SIM 卡的用户名；
Ki (Key identifier) ，网络验证秘钥，同时也是 SIM 克隆的关键。

Ki 一般存储在两类公司：电信运营商， SIM 卡制造商。这就是为什么 Lapsus$ 的招聘启事中，特别提到电信运营商的原因。
攻击者完成 SIM 卡克隆后，新旧两张 SIM 卡都有效，但只允许最后接入网络的这张新卡在网，而旧卡不会收到任何短信验证码。
攻击者利用手中的新卡接收验证码，进而重置密码或直接进行业务操作，等用户发觉时，损失已经造成。
随着技术进步，社会工程学攻击手段也愈发精致，此次微软被入侵绝不会是最后一例，只能说：道高一尺，魔高一丈；网络安全，任重道远。

参考资料：
1、
https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-they-were-hacked-by-lapsus-extortion-group/
2、
https://mp.weixin.qq.com/s/6Nx3H48592fR2d2-YstVEw
3、
https://www.wired.com/story/multifactor-authentication-prompt-bombing-on-the-rise/#intcid=_wired-verso-hp-trending_1a5b336d-2544-4d71-9978-7904ecee6869_popular4-1