資料外洩與人為因素：員工是最大的資產還是最脆弱的環節?

2016 年 02 月 19 日2016 年 02 月 19 日趨勢科技 TrendMicro

雖然資料外洩通常是想入侵系統的惡意分子利用惡意軟體或駭客攻擊造成，但要說資料外洩事件都是由外來者造成並不完全正確。事實上，趨勢科技在2014年3月所進行的一項調查結果顯示，19.8%的受訪者經歷過來自內部的資料外洩。註1

註1：這項調查涵蓋1,175位日本IT資安專家和決策者，同時也顯示有幾乎三分之二的受訪者曾遭遇過某種類型的資安外洩事件。

並不是說內部產生的資料外洩事件是蓄意而為，有些時候，資料外洩可能來自員工疏忽和常見的人為錯誤。最近的一起例子發生在2015年6月，一家澳洲雜貨連鎖店意外地將包含客戶資料及約八千筆禮品卡的Excel表格寄送給超過1,000名的客戶。因此讓電子郵件地址等客戶資料外流，由於郵件內還有可以下載7,941張購物券的鏈接,內含可於商店內購物的密碼,一些客戶登錄後才發現他們的購物券已被使用,零售商也被迫取消超過100萬美元的禮品卡。註2 這起事件是人為疏忽或錯誤會帶來經濟及名譽損失的最佳例子。

註2：客戶應該要收到的是帶有PDF格式禮卷的電子郵件，結果卻收到帶有客戶資料和兌換碼的 Excel表格。

人為疏忽（無論是因為不小心或缺乏知識）是網路犯罪分子會選擇（甚至是偏好）使用誘騙伎倆的原因。這讓他們可以更加輕易滲透系統而不必使用複雜的方法。

有鑑於此一資訊，必須要問：員工是組織中最脆弱的環節嗎？從許多因為員工疏忽或內賊所造成的資料外洩事件來看，這答案似乎是肯定的。註3 對於網路犯罪分子來說，透過網路釣魚（Phishing）從不知情員工手中取得所需資料會比突破網路防禦來駭入要來得容易。此外，隨著鑑識技術的增加，如入侵偵測和網路監控，網路犯罪分子要突破系統變得越來越困難，讓他們朝向最基礎但仍然有效的策略：社交工程（social engineering ）。

註3：2014年出現許多因為內賊所引起的知名資料外洩事件，打擊了像巴克萊銀行、AT&T、美國國鐵和韓國信用局等組織。

這是新的戰線，企業必須在投資安全技術和根據公司最佳實作來給予員工教育訓練間取得平衡。

是人都會犯錯，能加以防範才是了不起

有人說公司最大的資產是員工。雖然這是真的，但說到安全性時，也可以肯定員工是最脆弱的環節。雖然安全性主要是IT部門的責任，員工仍然是防禦的第一道防線。因此，員工需要進行教育訓練，讓他們可以保持警覺來防禦可能的安全攻擊。繼續閱讀

認識變臉詐騙/BEC- (Business Email Compromise) 商務電子郵件詐騙與防禦之道

2016 年 02 月 02 日2023 年 08 月 02 日趨勢科技 TrendMicro

北市某貿易公司業務經理的電郵帳號遭仿冒，宣稱上游供應商要求變更匯款帳戶，逕行匯款，損失折合台幣近百萬元。這就是近年相當猖獗的變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise，簡稱 BEC)，報導指出，光是去年一年，美國聯邦調查局就接到超過1萬2千件投訴，被害金額約台幣110億元；而國內去年受害報案件數也有55件，被騙金額超過6千萬元，平均每件財損超過百萬元，今年1至5月也已發生26件。

美國聯邦調查局（FBI）將商務電子郵件詐騙（BEC）定義成針對與外國供應商合作企業或經常進行匯款支付企業的精密騙局。原本稱為Man-in-the-Email詐騙，這些詐騙會侵入公開的企業郵件帳號來進行非授權的轉帳。根據美國聯邦調查局指出，在2013年10月到2015年8月間，BEC詐騙已經造成美國受害者將近7.5億美元的損失，影響超過7,000人。全球網路犯罪份子從美國以外的受害者詐騙了超過5,000萬美元。

BEC詐騙往往從攻擊者入侵企業高階主管郵件帳號或任何公開郵件帳號開始。通常經由鍵盤側錄惡意軟體或網路釣魚（Phishing）手法達成,不過,駭客為了讓人更容易上鉤,改為直接內嵌多家郵件服務的HTML網頁。相關文章:變臉詐騙 (BEC) :執行檔易被起疑心, 改用 HTML 附件讓你上鉤!

本部落格曾分享過網路犯罪個體戶崛起，HawkEye 鍵盤側錄程式,攔截台灣在內的中小企業交易資料,本文將更進一步說明這類企業郵件詐騙運作方法與防禦之道。

在過去兩年來，詐騙分子入侵企業正式電子郵件帳號並利用這些帳號進行詐欺性轉帳，從這些企業身上竊取了數百萬美元。在2015年1月，網路犯罪申訴中心（IC3）和美國聯邦調查局發表一個公開聲明，警告針對外國供應商合作企業的一種「精密騙局」。顯然地，跟商務/企業電子郵件詐騙（Business Email Compromise，BEC）相關的電腦入侵事件在成長，詐騙者偽裝成高階主管，從看似合法的來源寄送釣魚郵件，要求匯款至詐騙用帳戶。這些手法最終導致成功的入侵及可以不受阻礙地存取受害者憑證。

什麼是商務電子郵件詐騙？

美國聯邦調查局（FBI）將企業郵件受駭（BEC）定義成針對與外國供應商合作企業或經常進行匯款支付企業的精密騙局。原本稱為Man-in-the-Email詐騙，這些詐騙會侵入公開的企業郵件帳號來進行非授權的轉帳。根據美國聯邦調查局指出，在2013年10月到2015年8月間，BEC詐騙已經造成美國受害者將近7.5億美元的損失，影響超過7,000人。全球網路犯罪份子從美國以外的受害者詐騙了超過5,000萬美元。

更新: 2016年變臉詐騙造成逾30 億美元損失.受害企業高達 22,000 家(內有完整報告)

它如何運作？

BEC詐騙往往從攻擊者入侵企業高階主管郵件帳號或任何公開郵件帳號開始。通常經由鍵盤側錄惡意軟體或網路釣魚（Phishing）手法達成，攻擊者會建立類似目標公司的網域或偽造的電子郵件來誘騙目標提供帳號資料。在監控受駭電子郵件帳號時，詐騙者會試著找出進行轉帳及要求轉帳的對象。詐騙者通常會進行相當的研究，尋找財務高階主管變動的公司，高階主管正在旅行的公司或是進行投資人電話會議來製造機會以進行騙局。

BEC詐騙有三種手法：

第一個手法: 透過偽造的郵件、電話或傳真要求匯款給另一個詐騙用帳戶

這個手法也被稱為「偽造發票騙局」、「供應商詐騙」和「發票變造騙局」，通常跟有供應商關係的企業有關。詐騙者透過偽造的郵件、電話或傳真要求匯款給另一個詐騙用帳戶。

第二個手法: 詐騙者自稱為高階主管（CFO、CEO、CTO等）、律師或其他類型的法定代表 繼續閱讀

趨勢科技將繼續為舊版 IE提供防護

2016 年 01 月 27 日2016 年 01 月 28 日趨勢科技 TrendMicro

Microsoft 宣布停止支援舊版的 Internet Explorer 瀏覽器，也就是 IE 8、9、10。這項聲明是 2016 年 1 月份例行安全更新 (Patch Tuesday) 所發布消息之一，同時間發布的其他消息還有 Windows 8 也將終止支援。這意味著，Microsoft 將不再更新舊版的 IE 瀏覽器，即日起唯有使用最新的 IE 版本 (Internet Explorer 11) 才能獲得更新和修補 (除少數例外之外) 。不論是一般使用者或企業用戶，只要沒有升級到最新的瀏覽器版本，就有可能暴露在危險當中。

舊版的 IE 瀏覽器將不再收到任何修補程式，任何有關舊版

瀏覽器的安全問題也將不再修正，如此一來，使用舊版瀏覽器的系統將無法抵抗新發現的威脅。萬一出現新的專門針對舊版 IE 的零時差漏洞攻擊，系統將因無修補程式可用而受到攻擊。此一漏洞修補落差將隨著時間而擴大，其潛在攻擊風險也將越來越高。過去，IE 瀏覽器一直是漏洞攻擊套件最愛的目標，最近就出現了專門攻擊 Hacking Team 資料外洩揭露之某漏洞的案例。

目前還有相當多的使用者仍暴露在危險當中，根據 Net Market Share 在 2015 年 12 月所做的瀏覽器使用率調查顯示，將近 20% 的使用者仍在使用舊版 IE 瀏覽器：

圖 1：2015 年 12 月瀏覽器使用率調查。

此問題的解決之道，依然是升級至最新版的瀏覽器。升級至最新版本不僅可以藉由新版本的功能來提升安全，還可提供更順暢的使用體驗，並且符合最新的網站標準。不過，有些企業可能需要更多時間來測試並解決瀏覽器相容性問題，避免其仰賴 IE 的內部網站應用程式無法運作。針對這類企業，Microsoft 的EMET 倒是一個相當不錯的實用工具。繼續閱讀

“煩請確認請款單…”巨集病毒假借公司會議紀錄、內部資料或請款單企圖闖關

2016 年 01 月 06 日2016 年 02 月 24 日趨勢科技 TrendMicro

《小廣和小明的資安大小事》清井弟不顧小廣提醒,蠢蠢欲動想打開附件的原因,居然是….

巨集病毒捲土重來,當心Word/Excel 附檔夾帶非法巨集

輕井君所收到的是打開附檔就會感染病毒的攻擊郵件。駭客鎖定特定的企業及組織作為目標，寄出的郵件夾帶了偽裝成公司會議紀錄、內部資料或請款單等的病毒檔案。讓企業員工在沒有防備的狀況下誤開啟了病毒郵件。這一類的手法已日新月異越來越高明。繼續閱讀

什麼是魚叉式網路釣魚 (Spear Phishing )？

2016 年 01 月 04 日2022 年 06 月 06 日趨勢科技 TrendMicro

一起鎖定某跨國企業法務部門三名員工的「魚叉式網路釣魚(Spear Phishing)」郵件能逞嗎?

針對性攻擊要能成功，很重要的一點是歹徒必須根據受害者的防禦機制而調整及改進其攻擊方法,其中包含「魚叉式網路釣魚(Spear Phishing)」

魚叉式網路釣魚通常鎖定特定個人或某機構的特定員工及其社群媒體帳號 (如 Twitter、Facebook 和 LinkedIn)，它們會精心製作出很有說服力的電子郵件內容，並且在電子郵件當中挾帶可造成感染的附件檔案和連結。一旦開啟檔案或連結，就會執行惡意程式或將使用者導向某個網站。接下來，駭客就能建立其祕密通訊網路，然後朝攻擊的下一階段邁進。

》魚叉式網路釣魚 (Spear Phishing )是勒索軟體 Ransomware攻擊企業的主要手法

》醫療保險公司 Anthem Inc. 大規模資料外洩的主因:魚叉式網路釣魚 (Spear Phishing )

》南韓爆發最大駭客攻擊事件因魚叉式網路釣魚 (Spear Phishing )而起

》91％的APT 目標攻擊來自:魚叉式網路釣魚 (Spear Phishing )

檢視「防範魚叉式網路釣魚：保護電子郵件如何能夠防止針對性攻擊」

2015年稍早，醫療保險公司 Anthem Inc. 發出聲明表示自己發生了一起大規模的資料外洩，導致 8,000 萬名客戶受到影響。根據媒體報導，駭客經由一項精密的針對性攻擊/鎖定目標攻擊(Targeted attack ) 取得了進入 Anthem 公司 IT 系統的權限，進而竊取系統上儲存的個人資料。有些人對於企業資料外洩事件或許略知一二，但很少有人知道實際發生的經過以及網路犯罪集團所用的手法。

在所謂的「針對性攻擊/鎖定目標攻擊(Targeted attack ) 」當中，駭客必須擁有相當高的專業技能以及充裕的資源來進行這類長期的計謀。針對性攻擊要能成功，很重要的一點是歹徒必須根據受害者的防禦機制而調整及改進其攻擊方法。

駭客會利用各種最新時事、業務相關內容，以及攻擊目標可能有興趣的資訊來從事社交工程（social engineering ）攻擊。此外，後門程式、零時差或軟體漏洞攻擊、水坑式攻擊、魚叉式網路釣魚等等，也是歹徒經常用來竊取資訊的技巧。

雖然一般的網路釣魚（Phishing）和魚叉式網路釣魚所使用的技巧類似，但兩者之間還是有所差別。網路釣魚基本上是一種針對大量目標的亂槍打鳥式攻擊，但魚叉式網路釣魚則是專門針對特定目標。兩者的差異在於，一般的網路釣魚（Phishing）相對單純，歹徒一旦偷到受害人的資料 (如網路銀行登入資訊)，就算達到目的。但對於魚叉式網路釣魚來說，取得登入資訊或個人資訊通常只是攻擊的開端，這是歹徒進入目標網路的手段，只能算是的跳板而已針對性攻擊/鎖定目標攻擊(Targeted attack ) 。

何謂魚叉式網路釣魚攻擊？

前面提到，魚叉式網路釣魚是專門針對特定對象的網路釣魚（Phishing），其對象通常是某個機構，其最終目標是取得機密資訊，其技巧則包括：假冒他人名義、使用迷人的誘餌、避開安全機制 (如電子郵件過濾及防毒) 等等。預算和一般網路釣魚（Phishing）的都會誘騙目標對象開啟郵件中的附件檔案或點選郵件中的連結。繼續閱讀