防假冒企業高層主管的BEC變臉詐騙攻擊 趨勢科技首創採人工智慧分析技術防範電子郵件詐騙

 

【2018年4月17日,台北訊】全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 今天發表一項專為提升變臉詐騙攻擊防範能力的最新技術。這項以人工智慧 (AI) 為基礎的創新技術將整合至趨勢科技多項產品當中,應用在發現專門假冒執行長或其他重要人士名義所發出的電子郵件時提供警告。

防假冒企業高層主管的BEC變臉詐騙攻擊 趨勢科技首創採人工智慧分析技術防範電子郵件詐騙

研究機構 Osterman Research 分析師 Michael Osterman 指出:「這是我第一次看到業界推出電子郵件寫作風格分析。這對於將 AI 應用在網路資安領域以防範今日最嚴重透過電子郵件所進行的網路詐騙攻擊是相當令人振奮的示範。」

趨勢科技 Writing Style DNA (寫作風格 DNA) 可針對變臉詐騙提供更進階新的防護,採用 AI 來建立使用者寫作風格的「微跡證」,其中包含了 7,000 多項寫作特徵。當遇到疑似假冒重要人士名義發出的電子郵件時,就可利用人工智慧來分析其寫作風格,並且發送通知給寄件人、收件人和 IT 部門。

趨勢科技執行長陳怡樺表示:「未來的威脅情勢需要具備人工智慧的防護來結合專家規則和機器學習。我們很榮幸能夠再次成為這個領域的先驅。」

她補充道:「這項新的技術對於我們現有的電子郵件防護以及我們免費提供給企業的網路釣魚模擬與意識提升服務,可說是完美的搭配。在這個電子郵件詐騙方式日益精密且損失慘重的大環境下,企業機構有必要設置多層防護來自我保護。」

趨勢科技2017 年攔截到的所有勒索病毒當中有 94% 都是經由電子郵件散布。此外,預計在2018 年全球變臉詐騙損失總金額將高達 90 億美元,平均每一件變臉詐騙損失約 132,000 美元。因此,企業有必要透過訓練和技術雙管齊下來防範網路釣魚。 Continue reading “防假冒企業高層主管的BEC變臉詐騙攻擊 趨勢科技首創採人工智慧分析技術防範電子郵件詐騙”

企業資安簡易指南:取下欺詐性網域(下)

可疑網域被用來進行詐騙前先加以監控和偵測,那然後呢?受影響企業應該要讓其失效,讓惡意份子無法用它們進行攻擊。但要如何取下(takedown)這些欺詐性網域呢?

首先先考慮法律面:這部分相當重要,而且會因國家而有所不同。有些國家的法律會要求網路服務商(ISP)積極應對網路詐騙,但其他則沒有。

企業資安簡易指南:取下欺詐性網域(下)

當涉及欺詐性網域或是遭到惡意使用時,協同合作是相當重要的,從IT/資訊安全人員以及防護公司網路邊界的系統管理員,一直到決策者和ISP。事實上,大多數的網路服務商都非常積極回應並願意協助打擊詐騙,特別是其基礎設施或服務遭到濫用時。

當被通知網路犯罪或詐騙活動,甚至是網域名稱侵權商標時,網路服務商通常會積極地主動處理。能夠熟悉ISP、電腦資安事件應變小組(CSIRT)及電腦緊急應變小組(CERT)如何處理這些事件也會有所幫助。

(欺詐性)網域名稱包含什麼?

欺詐性網域指的是本身違反規定或被用來進行詐騙的網域名稱。例如網域名稱包含品牌或公司名稱;欺詐性網域本身已經構成商標侵權。這是最簡單取下網域的例子,原因很明顯。

但網域名稱也可能跟公司或品牌無關,卻被用在網路犯罪活動。比方說用來寄送夾帶惡意軟體的電子郵件或放有詐騙內容(如魚叉式釣魚攻擊)。 Continue reading “企業資安簡易指南:取下欺詐性網域(下)”

如果駭客利用機器學習….網路釣魚攻擊得逞機率提高30%,繞過reCAPTCHA機率達98%

駭客在入侵組織前通常會先盡可能地收集目標相關資訊。其中包括公司相關人士的詳細資訊以作為之後的釣魚攻擊所需。隨著機器學習(Machine Learning)出現,駭客不必再手動進行這些研究工作,而是可以自動化並加速整個過程。

這樣子利用機器學習也代表利用公司高階主管甚至更低層員工個人資料來進行的針對性攻擊會飆升。此類網路釣魚攻擊方式可能將成功機會提高多達30%

許多網站和系統利用驗證碼(CAPTCHA)機制來區分真人與機器人。不過在機器學習時代,這些以往有效的作法也受到了影響。

這並非駭客第一次利用機器學習來破解驗證碼(CAPTCHA)機制 – 在2012年,研究人員證明可以利用機器學習繞過reCAPTCHA系統,成功率達到82%。而最近在2017年,研究人員利用機器學習繞過Google reCAPTCHA保護機制的成功率達到98%

如果駭客利用機器學習....網路釣魚攻擊得逞機率提高30%,繞過reCAPTCHA機率達98%

 

駭客如何利用機器學習(Machine Learning)?

精細的網路犯罪一直在尋找下一個大規模的攻擊手法,並且不會吝於嘗試新方法來攻破目標並入侵企業的IT資產和敏感資料。要阻止這類威脅的最好方法之一是提高人們的安全意識並增加對最新風險及如何防範的了解。

目前駭客的一個新興策略是使用機器學習(Machine Learning)。就跟許多先進創新的技術一樣,機器學習可以對企業有益,卻也能夠幫助惡意活動。

 

機器學習:入門

許多IT和開發團隊及技術機構都正在使用機器學習 ,正如SAS所解釋,機器學習是人工智慧的一個分支,它建立在構建自動化分析模型的基礎上。換句話說,機器學習讓系統能夠根據其持續使用和經驗來增加自己的知識並調整程序和活動。

“機器學習的迭代方面非常重要,因為隨著模型接觸到新資料,需要能夠獨立適應,”SAS表示。“它們從之前的計算中學習以產生可靠、可重複的決策和結果。這並不是一門新學科,但卻獲得了新動力。”

人們也可能在日常生活中碰過某種形式的機器學習演算法 – 如串流媒體服務和網路賣場的線上推薦,還有自動詐騙偵測等代表現實世界裡已經存在的機器學習用例。 Continue reading “如果駭客利用機器學習….網路釣魚攻擊得逞機率提高30%,繞過reCAPTCHA機率達98%”

勒索病毒居然已經十幾歲了!資安專家:有三個理由,今年還會”狗狗纏”

勒索病毒已經出現十多年了,因為病毒的攻擊手法越來越精細,幾乎所有的國家都出現受害者,成為了全球性的威脅。根據CSO的報導,勒索病毒的歷史比許多人所想的都更漫長。儘管過去幾年出現的大規模攻擊讓其成為矚目的焦點,但其實駭客從2005年開始就一直在使用勒索病毒。而且在過去11年間的勒索病毒攻擊已經超過一般的資料外洩事件。

勒索病毒居然已經十幾歲了!資安專家:有三個理由,今年還會"狗狗纏"

三個勒索病毒在未來數年仍將持續肆虐的理由

不幸的是,網路犯罪份子持續在勒索病毒方面取得成功,幾乎每天都有更多的知名企業淪為這類攻擊的受害者。毫無疑問地,勒索病毒會繼續成為網路安全產業眼中的威脅。這裡有三個勒索病毒在未來數年仍將持續肆虐的理由:

1)勒索病毒持續進化中

大多數的勒索病毒都屬於加密型或上鎖型。Heimdal Security解釋說明,加密型勒索病毒(或說是鎖住資料)會利用複雜的加密演算法讓受害者無法存取系統檔案和資料。CryptoLocker是這類型中最知名的勒索病毒之一。從局外人的角度來看,勒索病毒可能看似簡單:從受害者那裡取走一些東西並要求錢來贖回。然而在加密型和上鎖型之下還有好幾種不同類型的勒索病毒,並且有許多種感染受害者的手法。

另一種的上鎖型勒索病毒則是會鎖住中毒設備的作業系統,這意味著所有檔案和資料以及應用程式和系統都無法使用。最近的Petya攻擊就屬於這類型。 Continue reading “勒索病毒居然已經十幾歲了!資安專家:有三個理由,今年還會”狗狗纏””

勒索病毒也可網購! ShurL0ckr在暗網上販售,據報可以繞過雲端應用程式

安全研究人員發現一個名叫ShurL0ckr的新勒索病毒據説可以繞過雲端平台的偵測機制。就跟Cerber和Satan一樣,ShurL0ckr操作者將這勒索病毒經營成外包服務,讓其他網路犯罪分子也可以分一杯羹,從受害者贖金中抽取佣金。

《延伸閱讀 》 散播Cerber 和CTB Locker勒索病毒嫌犯遭捕:程式非自己開發,以 30% 不法獲利跟駭客分紅

ShurL0ckr勒索病毒即服務在暗網上販售,據報可以繞過雲端應用程式
ShurL0ckr勒索病毒即服務在暗網上販售,據報可以繞過雲端應用程式

根據研究人員對ShurL0ckr的分析顯示,它可以躲避雲端應用程式偵測來進行擴散。跟其他勒索病毒一樣,網路釣魚(Phishing)路過式下載「Drive by download」是最可能的感染媒介。

ShurL0ckr的出現也顯示出另一個更大的問題:網路犯罪分子對合法平台和服務的濫用。研究人員指出,使用雲端應用程式的企業有44%或多或少受到惡意軟體影響。事實上,他們發現至少有三家企業級軟體即服務(SaaS)應用程式感染了惡意軟體。研究人員還發現,惡意腳本、可執行檔以及木馬化的Office文件和圖片檔是最常用的進入點。

[相關新聞:Google Apps Script的安全漏洞能讓駭客透過SaaS平台散播惡意軟體 ]

勒索病毒不會很快就消失。事實上,隨著企業越來越採用新興技術來開拓業務,勒索病毒和數位敲詐可以預見會是網路犯罪的主流。 Continue reading “勒索病毒也可網購! ShurL0ckr在暗網上販售,據報可以繞過雲端應用程式”

網路釣魚再進化,不使用執行檔!防釣 10 招應變

現在網友已經越來越能分辨網路釣魚郵件,但駭客也不是省油的燈,它們的社交工程(social engineering )技巧越來越細膩。甚至愈來愈多網路釣魚電子郵件已不再使用執行檔為附件,而是改用 HTML 網頁。因為含有執行檔的電子郵件通常會被垃圾郵件過濾軟體列為可疑郵件,但 HTML 檔案則不會,因為惡意 HTML 檔案較難被偵測,除非可證明是網路釣魚網頁。而且,網路釣魚網頁的程式碼撰寫起來較為容易,又可在任何平台上通用。

:網路釣魚執行檔易被起疑心, 改用 HTML 附件讓你上鉤!
網路釣魚執行檔易被起疑心, 改用 HTML 附件讓你上鉤!

以 Gmail、Outlook 和 Yahoo Mail 圖示,增加可信度

趨勢科技發現一波改用 HTML 網頁為附件的網路釣魚(Phishing)郵件。一旦開啟該 HTML 附件檔案,就會啟動瀏覽器並顯示如下內容:

網路釣魚再進化,不使用執行檔!防釣 10 招應變

 

該網頁會要求使用者輸入電子郵件帳號和密碼以檢視文件。而且為了誘騙使用者登入自己的電子郵件信箱,歹徒還刻意在網頁上放置了幾個知名電子郵件服務的圖示,如:Gmail、Outlook 和 Yahoo Mail。

當使用者輸入自己的帳號和密碼並送出表單時,這些資訊就會被傳送至歹徒所設定好的一個 PHP 腳本。這個腳本再將受害者的帳號密碼傳送至歹徒的電子郵件信箱。

2 月是 HTML 網路釣魚頁面高峰期

2016 年 7 月 1 日至 2017 年 6 月 30 日,趨勢科技 Smart Protection Network共收到了 14,867 筆資料,其中有 6,664 個非重複樣本。

下圖顯示趨勢科技每個月所收到的通報數量: Continue reading “網路釣魚再進化,不使用執行檔!防釣 10 招應變”

購物狂歡季,商家如何保護電子商務網站?四個抵禦網路購物威脅建議

shopping-season

 

東方的1111單身購物節,西方感恩節之後的黑色星期五,已經公認成為開啟網路和實體店面假日購物季的觸發事件 – 這段期間在過去幾年已經穩定地讓自身成為特殊的節日。感謝熱門的電子商務如淘寶網,亞馬遜和eBay,購物從未如此有效率。但同時,對企業和消費者來說也從來沒有如此危險。

對客戶來說,用網路找商品充滿了各種危險的可能性,因為駭客和網路騙子都正在尋找他們的下一個目標。對企業主來說,重要的是必須認真對待資訊和資料安全,不僅僅是為了自己,也為了客戶。電子商務已經打敗實體賣場成為消費者想尋找好價格的首選,因為網路購買已經變得更加方便。這對網路銷售業來說代表了一些事情 – 大量網路交易、資料安全威脅甚至是針對性竊盜。多年來,許多事件顯示出電子商務活動的成長也成為任何能夠入侵網路安全措施來駭入帳戶的駭客獲取敏感卡片資料的金礦。

[延伸閱讀:剖析資料外洩和揭開迷思]

三個購物季駭客慣用的網路威脅

購物季,網路商店應該要採取必要措施來確保提供客戶無憂的購物體驗。為了做到這一點,企業應該要考慮一個策略,不只是要想到獲利,還要想到風險和漏洞。了解你的安全邊界可以幫助你更好地了解該如何建立正確的防禦。其中一部分是意識到可能影響到你的生意或危及你客戶的安全風險:

  1. 惡意廣告 在網站上(特別是在熱門電子商務網站)看到網路廣告是很正常的事,因此購物者更容易被誘騙點入顯示成彈跳式視窗或提醒警告的惡意廣告。點入這些廣告可能會在不知不覺中安裝了惡意軟體。客戶也可能經由路過式下載(drive-by download)或只是因為網頁載入了惡意廣告而受到感染。最近,已經看到惡意廣告會夾帶勒索病毒,這可能造成檔案損毀和遺失。
  2. 垃圾郵件 – 使用者喜歡在這些節日期間進行大筆交易,意味著他們更可能去觀看網路行銷。你的公司可能會寄送郵件來做行銷、銷售或提供特別優惠。然而,攻擊者會使用具備非常相似主旨或外觀的惡意郵件來誘騙客戶點入可能連到網路釣魚網站的惡意連結。 Continue reading “購物狂歡季,商家如何保護電子商務網站?四個抵禦網路購物威脅建議”

企業應該多久應該備份一次?怎樣的備份作法才最有效?

在資訊當道的年代,資料往往是企業最珍貴的資產,因此資料保護就顯得比以往更加重要。2017 年爆發了有史以來最大的一樁網路攻擊:WannaCry(想哭)勒索病毒。根據一項統計,該病毒在全球造成了高達 40 億美元的商業損失。這項統計不僅包含資料損失部分,還包括後續引發的成本,例如生產力損失與資料回復成本。作業系統、軟體,甚至硬體都可以被取代,唯獨資料無法被輕易取代或回復。目前雖然也有一些方法可以復原遭勒索病毒破壞的部分或全部資料,但這些方法不是代價昂貴、就是無法應付所有狀況。其實,企業防範資料損失最有效、也最直接了當的做法就是資料備份。

企業應該多久應該備份一次?怎樣的備份作法才最有效?

資料備份為何重要?

任何會在裝置上儲存資料的人,都應採取某種形式的資料備份,不論是客戶資料、員工檔案、醫療記錄,或者單純只是美好的照片。不過,受資料損失影響最大的還是企業,因為這通常還會連帶影響到企業的生產和服務。

如前所述,資料通常是一家公司最珍貴的資產,因此理所當然應該盡最大努力來加以守護。資料備份如同買保險一樣,能夠防範意外事件的發生。備份能夠確保企業在必要時可以輕鬆回復資料,降低營運的衝擊。

企業應該多久應該備份一次?

制定一套有效的備份計畫,最重要的一點就是決定多久應該備份一次。理想的情況是,企業應在條件許可的情況下盡量提高備份次數。雖然許多企業一天只需備份一次即可,尤其是較小的企業,但有些資料更新頻繁的企業 (如金融機構),則應該提高備份頻率,甚至應該一天備份多次。企業可採取一些可定期自動備份的軟體來減輕管理負擔。 Continue reading “企業應該多久應該備份一次?怎樣的備份作法才最有效?”

系統例行維修時間,竟成歹徒惡搞時機?

凡機器都需要定期維護,這不單可確保機器不會因正常磨耗而損壞,還可做一些日常的零件更新和檢查。越複雜的機器,維護的過程也就越仔細。
在維護過程中,人員通常會需要操作該機器以及所有連接的相關管理系統,舉例來說,抽水馬達會連接自來水供應管路,以及一個負責監控和調整水壓和流量的控制系統。在日常維護時,必須先暫停供水以及相關安全措施,或者切換至另一個模式來更新或修復零件。

2016 年YouBike大當機,原因是心生不滿員工利用維修時間惡搞

系統例行維修時間,竟成歹徒惡搞時機?

2016 年台北市發生了一起攻擊案例讓我們深刻了解到,維護期間很可能就是歹徒攻擊的黃金時期。根據媒體報導,一位心生不滿的員工利用日常維護的機會,在台北市 YouBike 管理系統上安裝了惡意程式。結果所有的 YouBike 都因而無法租借,導致該公司遭受 662,910 美元的損害與營業損失。這名不肖工程師目前已遭逮捕並由台中地檢署正式起訴。(相關中文報導)

四個維護期間會發生的潛在問題

維護期間除了可能完全解除安全措施之外 (此時就連應用程式控管與白名單機制這類最基本的防護都付之闕如),還有其他可能遭到利用的潛在問題:

  1. 當系統維護交由第三方廠商負責時,外人就能掌握系統的存取權限。委外維護人員很可能不會遵守企業平時所遵守的安全規範,也不受原本的流程所監督。
  2. 老舊機器的維護既缺乏效率也不安全。有些系統仍需使用 CD 甚至 3.5 吋軟碟來進行更新。而且人員必須帶著軟體到每一台端點上進行維護,因此這些系統更新既不頻繁,方法也很老舊。
  3. 某些系統老到根本無法更新,只因營運需要所以還撐著。印度有 70% 的 ATM 提款機仍在使用 Windows XP,這些提款機雖然仍可使用,但卻因為眾多漏洞的而容易遭到各式各樣的攻擊。
  4. 有些白名單機制並未考慮到系統維護的情況。有些白名單機制只有啟用和關閉兩種設定,因此當維護人員為了安裝程式而關閉這項功能時,等於讓系統卸下防禦。然而有些白名單機制卻會考慮到系統維護的需求,可以只開放系統維護時所需的權限,其他部分則不受影響。

Continue reading “系統例行維修時間,竟成歹徒惡搞時機?”

緊急弱點公佈,請盡速修補!

red alret 紅色警戒 資安/病毒漏洞警告

弱點編號:CVE-2017-11780

弱點說明:Microsoft Windows作業系統平台的SMB服務具有弱點, 駭客可遠端攻擊執行任何執行碼

可能影響:駭客可能進入內部網路時,利用此弱點進行內網擴散。或勒索病毒搭配此弱點進行擴散攻擊,如WannaCry

建議採取行動:1. 立即安裝Windows安全性更新 2.非必要關閉 SMB 服務

 

弱點編號:CVE-2017-11826

弱點說明:Microsoft Office RTF具有弱點,駭客可執行利用此弱點植入惡意程式

可能影響:駭客可能利用電子郵件社交工程手法,寄送帶有此弱點攻擊程式碼 Office文件給使用者。使用者開啟後將植入惡意程式

建議採取行動:1. 立即安裝Windows安全性更新 2.提醒使用者勿開啟來路不明的電子郵件附件

 

漏洞詳細說明請參考CVE網站:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-11780

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-11826