社交工程 + Session 竊取:MFA擋不住的加密貨幣竊盜鏈
- Odin Info
- 7月1日
- 讀畢需時 2 分鐘
文章來源:奧登行銷團隊
根據 iThome 報導,2025 年 5 月 8 日,臺灣加密貨幣交易所幣託遭北韓駭客組織 Lazarus 社交工程滲透,駭客操控雲端技術人員,植入惡意軟體,並成功逃過防毒、EDR 及雲端安全偵測系統。接著盜用 AWS session token,繞過 MFA,對熱錢包主機下指令,準備轉移超過 1,150 萬美元資金。直到幣託熱錢包監控系統偵測異常,才啟動應變機制才中止攻擊。
這類「Session Cookie 竊取」攻擊正快速蔓延。SpyCloud 針對 Fortune 1000 發布的報告指出,僅去年就有 19 億筆員工 Session Cookie 被竊,加上 80 % 以上的入侵都與憑證被盜有關,形成資安防線最薄弱的一環。
為什麼傳統 MFA 仍防不了?
一次通過、終身有效:大多數身分平台僅在「登入瞬間」驗證風險,取得 Session 後便不再評估。
偵測斷層:端點、雲端、身分系統各自為政,資安團隊難以在同一視窗裡追蹤 Session 風險。
使用者體驗 VS. 安全:頻繁重新驗證會造成干擾,企業往往將 Session 設得過長,進一步放大被劫持的時間窗口。
Okta Identity Threat Protection (ITP) 把「持續性」補上
奧登資訊代理的 Okta ITP 專為這種「登入後仍在變化」的風險而生,核心特點如下:
ITP 核心能力 | 如何化解 Session 竊取風險 |
持續風險評估 | 登入前、登入後都持續收集 IP、裝置、行為、威脅情報等訊號,任何異動即重新評分。 |
Session Protection | 偵測 Session 期間的 IP/裝置改變,立即重新套用政策(例如要求 MFA、或 Universal Logout)。 |
共享訊號管道 | 將SaaS應用和第三方 EDR / SIEM 安全技術,統一化為「使用者/裝置風險等級」後自動修補(降權、隔離、工作流程觸發)。 |
即時可視化 | Dashboard、System Log、報表隨時追蹤「誰的 Session 出現異常?」、風險來源及處置結果。 |
Okta Identity Threat Protection (ITP) 四大優勢
零死角監控:從登入到登出,所有 Session 持續被風險模型掃描。
自動化反制:可設定高風險即強制登出或觸發 Okta Workflows 通知 SOC。
整合式視野:將端點、網路、威脅情報轉為一致的「Entity Risk」,SOC 不必再跨系統對照。
用戶無感安全:只有風險升高時才追加驗證,維持流暢體驗而不犧牲防禦力。
給企業的行動建議
縮短高權限 Session 期限,並開啟 Okta Session Protection 政策。
導入 SSF 與 EDR 整合,把端點偵測結果匯入 ITP 做即時評分。
建立 Universal Logout 流程:一旦偵測到高風險,立即全域撤銷帳號 Session,避免側移。
結語
BitoPro 的案例再次提醒我們:駭客無須破解密碼,只要奪走 Session 就能為所欲為。面對 19 億筆 Session Cookie 被盜的現實,企業唯有採用 「持續評估 + 自動化回應」 的身分威脅防禦,才能真正補上 MFA 後門。奧登資訊攜手 Okta ITP,正是讓身分防線進化到 24×7 即時防禦的最佳路徑。
Comments