一次協同攻擊中，曾為移民，稅收，退休金和福利提供重要服務的加拿大相關政府網址被盜，攻擊者目標是竊取COVID-19救濟金。

最近，加拿大政府宣布了應急響應金(CERB)以作為全國新型冠狀病毒救助。 這項福利為符合條件的居民提供了高達2,000加元的資金補助。

從CERB網站上可以看到，可以通過使用GCKey的“加拿大我的服務”帳戶以某種方式回答篩選問題，以訪問系統。一位受影響的居民說，欺詐者設法代他取出10,000加元，并將資金轉入其他賬戶。

在線門戶網站GCKey是一個單點登錄(SSO)系統，公眾可以使用該系統訪問多種加拿大政府服務。此外，GCKey還充當用戶登錄加拿大稅收局(CRA)系統的替代訪問途徑。

上周末，加拿大政府首席信息辦公室發布了一份聲明，提醒公眾注意GCKey系統中的網絡攻擊。

據稱，攻擊者使用“憑據填充”技術，成功進入了9,041個GCKey帳戶(總計有1,200萬個賬戶)。

憑據填充攻擊是攻擊者以自動方式嘗試將先前泄露的用戶名-密碼組合攻擊另一個網站，以試圖找到共享相同憑據的帳戶。這就是為什么安全專家強烈建議，不要在不同網站上使用相同的用戶名和密碼組合。因為如果一個網站受到攻擊，其他網站賬戶也很危險。

政府聲明表示，一旦發現威脅，受影響的GC Key帳戶便被取消。各部門正在聯系賬戶被撤銷的用戶，以幫助他們開通新GCKey賬戶。

聲明稱，GCKey攻擊和最近針對CRA的另一次“憑證填充”攻擊，已將大約5500個CRA帳戶作為目標。

那些經常訪問加拿大政府網站的人，會熟悉其中提供多種登錄方式的網站。例如， “加拿大我的服務”允許通過GCKey，銀行或省級帳戶訪問帳戶。同樣，加拿大稅務局(CRA)允許通過GCKey或CRA帳戶登錄。當訪問某些部門(例如CRA或IRCC)時， GCKey在工作流程中并未啟用多因素身份驗證。

從新的電腦登錄時，系統會詢問用戶一個安全驗證問題(例如寵物的名字)，但是，并沒有機制提示用戶輸入2FA代碼，例如，通過短信(SMS)發送2FA代碼。在測試中，并未發現使用任何安全驗證碼，這可能使機器人可以進行自動憑據填充。

缺乏多重身份驗證手段意味著，攻擊者可以通過憑證填充或身份盜用來掌握受害者的GCKey或CRA帳戶，從而可以進行敏感的政府交易。

雖然，多種訪問路徑為公民提供了便利，但它們也擴大了攻擊者可以掠奪的攻擊面。被利用的鏈條中最薄弱的一環，對每個人都可能造成毀滅性后果。

參考來源：Canada suffers cyberattack used to steal COVID-19 relief payments