中小企業資安 - 資安趨勢部落格

「1,863萬台幣贖金 ,另加 3,105萬元購買新電腦和硬體!」這是發生在美國佛羅里達州里維拉灘市（Riviera Beach）一名警察部門的員工，不小心點開「有毒郵件」，導致市政府電腦被癱瘓了3周後的代價。(相關報導)

一間新竹科技公司，為何因為一時沒看出「xxx@ximhan.net」與「xxx@xlmhan.net」兩帳號差異，竟損失近2千餘萬元?
臉書超高人氣,社群分享上癮, 你是駭客選中的「朋友」還是攻擊跳板?
如果員工上班時瀏覽網站不小心點入了惡意廣告,對企業組織有何風險?
網路資安情勢瞬息萬變,只針對新進員工進行網路資安訓練夠嗎?

企業資安不再只是 IT 部門的工作,每位員工都有責任維護職場的網路安全。以下從四個面向: 「社群網站」、「電子郵件」、「網頁瀏覽」及「員工教育訓練」提供一些指南：

企業資安不是 IT 部門的專屬責任,每一位員工都是把關者

臉書超高人氣,社群分享上癮, 你是駭客選中的「朋友」?駭客眼中夢寐以求的攻擊跳板有哪些特質?

為何員工在社群網站發言,會影響企業安全? 駭客如何利用假身分掩護,加入某公司員工的社群帳號,進而引發一場資料外洩事件?請看以下影片:

這位仁兄幾乎接受所有的交友邀請,他很自豪的認為高人氣的社群人脈,可以讓他迅速飛黃騰達,他幾乎像上癮一樣,分享生活中的所有大小事物,讓數百位社群網站”好友”,實際上多數為陌生人,知道他的作息與工作點滴,你身邊也有這類型的同事嗎?為何這種人會成為攻擊者夢想中的目標?他和所屬的公司,最終付出什麼代價?

企業資安不再只是 IT 部門的工作,每位員工都有責任維護職場的網路安全。本文從四個面向:「電子郵件」、「網頁瀏覽」、「員工教育訓練」及「社群網站」提供一些指南：

1.電子郵件安全

電子郵件至今仍是企業及員工所面臨的最大一項威脅管道。電子郵件是今日企業溝通的最主要工具。因此一再成為歹徒的犯案工具。對企業來說，最困難的一項工作就是今日社交工程陷阱越來越高明，因此讓員工很難察覺有詐。員工可採取以下幾個作法來加強防範：

檢查電子郵件來源網域。很多時候，歹徒會利用看起來跟某機構長得很像的網域名稱。因此，您要仔細查看一下發信地址。

《延伸閱讀》新竹一間科技公司，一時眼花, i 跟 l 分不清,損失新台幣2千餘萬元!
➔ BEC變臉詐騙,一封郵件騙走一棟房子一點都不誇張。
➔ 看似拼錯的網域名稱竟可賣100英鎊！(含facebook google paypal 等假網址一覽表)
如果信件當中含有網站連結，請將滑鼠移到連結上停一下，看看其顯示的網址是否與電子郵件的來源相同。例如，發信的公司網域名稱與網址所顯示的網域可能不同。|
➔ 「前往我的賣場」竟連結到網路釣魚網站?! 網址明明是 Google 官網,居然連到 Yahoo!?…五招防個資外洩
仔細觀察訊息內容，如果它一直在催促您盡快開啟某個附件檔案或點選某個連結，那很可能有詐。
先將附件檔案另存新檔，然後掃瞄看看是否為惡意檔案，切勿貿然直接從電子郵件內開啟附件檔案。

2.網頁瀏覽

網站是許多員工和企業遭到駭客入侵的第二大途徑。許多歹徒都會利用一些熱門網站或網頁內的廣告來感染使用者。網路釣魚(Phishing)網頁在今日非常流行，因為網路犯罪集團很希望能竊取使用者在一些熱門網站的登入憑證。使用者可以採取以下幾個作法來加強防範：

若您突然看到畫面上彈出一個以前不曾見過的登入畫面，請務必小心，並且切勿直接登入。請改用原本已加入書籤的頁面來登入該網站。
小心網站上的廣告，因為許多歹徒都是利用惡意廣告來感染使用者。
確認您的系統或企業機構已架設網站過濾功能來封鎖一些惡意的網站和網頁。
盡可能使用書籤來前往某個網站，或者直接在網址列輸入網址，避免直接點選電子郵件或訊息當中隨附的連結。

3.員工教育訓練

許多企業機構在投入了一些資源來進行員工網路資安訓練之後，都確實改善了資安的情況。像這樣的教育訓練務必持之以恆，不論是針對新進員工或老員工，因為網路資安情勢瞬息萬變。

定期舉辦網路釣魚模擬計畫:您可以定期提供一些有關威脅如何運作的影片，或是透過一些網路釣魚模擬計畫來定期檢測員工是否會點選您刻意製作的網路釣魚郵件隨附的連結。
員工專屬疑似電子郵件回報信箱:除此之外，企業還可以成立一個專門的電子郵件信箱讓員工將可疑的電子郵件轉寄給 IT 部門。但請注意，企業務必迅速作出回應，這樣才能讓使用者知道如果真的遇到惡意郵件，他們確實會收到通知。
不要有僥倖心態:所有員工都應謹記，不論任何時候，他們都有可能遭到攻擊。許多員工或許會認為自己不可能成為攻擊目標。不過，網路犯罪集團絕不會輕言放棄，如果他們一直無法讓某個員工上當，那麼他們就會另尋其他目標，直到有人掉入他們社交工程陷阱為止。企業機構，尤其是小型企業，更須謹記這點，因為，他們總有一天會成為攻擊目標，只是時間早晚而已。

駭客和網路犯罪集團隨時都在攻擊全球各地的企業機構和員工，換句話說，企業機構內的每一個人都要嚴加戒備，隨時注意自己的網路活動，以確保自身安全。當然趨勢科技也知道我們可以做得更多，因此我們隨時都在投資新的技術來保護客戶，防範威脅入侵客戶，因為，建立一個安全的數位資訊交換世界是我們的使命。

4.社群網站

別讓你的個人檔案像一本可以自由翻閱的書,免得駭客可以看到任何所需資訊,加以利用謀取利益!

本文一開頭的影片男主角 Dave是攻擊者夢想中的目標,因為他幾乎像上癮一樣,分享生活中的所有大小事物,讓數百位陌生人知道,你身邊有沒有這種人呢？
我們都使用社群網路,但如果你不謹慎小心,就很容易洩漏這麼多資料,Dave可能覺得有趣,分享自己所做的一切,但是對心懷不軌的人,這正是大好機會,利用你過度分享的資訊。在你察覺之前,滲透掌握你的一舉一動,即使你分享資訊沒有損失,最終仍可能為此付出代價。
影片中的駭客寫電子郵件給Dave的上司,提出非常有趣的提案,在假試算表嵌入惡意程式碼,只要幾秒鐘就能完成,你可能認為這種事情,只發生在電影中,但事實上大部分攻擊,都使用社交工程,建立可信藉口欺騙受害者,從事不明智的行為,只是一時判斷不當,圖謀不軌的人就能取得他所要的存取權限。

有計畫的犯罪份子會仔細瀏覽網路,搜尋更多系統及資料,這不是短期的駭客行為,他們會長期取得機密資料,銷售給地下犯罪組織,可能是信用卡資料庫或公司全力投入的專案。

請記住以下四點:

你不但要維護公司的資料安全,也要維護個人的資料安全
建立社群人脈固然重要,但不要所有人都照單全收
發文前請三思,如果你不想引人注意,就不要在網路發文
如果你分享資訊.請確保嚴密控制目標對象,遵循公司安全政策,當然也要小心收到的未經請求訊息或內容,最重要的是
請用腦思考

原文參考：It’s Everyone’s Job to Ensure Online Safety at Work 作者：Jon Clay (全球威脅通訊)

「花錢洗白負評」「中斷供應鏈」,數位勒索不只有勒索病毒

2018 年 10 月 23 日2018 年 10 月 09 日趨勢科技 TrendMicro

現在有許多企業高層都對數位勒索相當的熟悉了，特別是談到勒索病毒Ransomware (勒索軟體/綁架病毒)。這種加密檔案的攻擊會讓使用者無法使用自己珍貴的重要資料、應用程式或作業系統。攻擊者要求用無法追踪的虛擬貨幣來支付贖金以取得解密金鑰 – 這並不能保證在付款後真的會拿到。

勒索病毒攻擊在這幾年來一直對企業造成威脅。但這並非今日唯一的數位勒索手法。而就跟其他攻擊一樣，駭客在準備工夫和惡意軟體的功能方面也變得越來越進步。

隨著數位勒索攻擊的持續增加，IT領導者和高階主管必須確保自己了解這些威脅種類及其對整體公司信譽與合作夥伴和客戶關係可能造成的影響。

數位勒索說穿了，就是可以替網路犯罪分子帶來利潤

數位勒索崛起（且資安專家預測這些攻擊會在不久的將來大量出現）的一個主要原因是因為它們對駭客來說非常有利可圖。

勒索病毒及其他種類的數位勒索（我們將在後面深入探討）都有一個共同點：對網路犯罪分子來說可以帶來高利潤。當企業和個人使用者無法使用自己最重要的檔案和資料 – 特別是當這些關鍵資料沒有異地備份時，受害者被迫付錢給攻擊者來解密以重新取回檔案。

不幸的是，過去的勒索病毒攻擊已經證明了付錢給駭客並不代表攻擊就會結束。在某些案例（包括大規模WannaCry想哭勒索病毒攻擊期間）裡，受害者支付了贖金卻沒有拿到解密金鑰（甚至沒有收到任何回應）。還有一些案例在付了贖金後，駭客繼續要求更高的贖金才要回復檔案。

基於這種種原因，數位勒索已經成為企業所面對特別危險且具破壞性的威脅。

「數位勒索是網路犯罪分子在今日的威脅形勢中最有辦法賺錢的方法之一」，趨勢科技安全研究人員指出。「許多人都成為了這類邪惡計畫的犧牲品，並且損失了不少錢 – 從一般使用者到大企業都有。」

過去的數位勒索：DoS攻擊鋪平了道路

雖然目前對數位勒索攻擊的認識大多都跟勒索病毒有關，但這樣的獲利方式也被用在另一種熟悉的攻擊方法 – 阻斷服務攻擊。正如趨勢科技的「數位勒索：前瞻觀點」報告所指出，這種勒索手法已經被網路犯罪分子用了十多年，駭客已經相當駕輕就熟了。

「早安…我們希望你已經嘗到超過100Gbps的分散式阻斷服務攻擊 (DDoS)滋味。如果想讓它停止，請支付30比特幣給以下錢包…」這是報告內提到的一個例子。

就跟勒索病毒攻擊一樣，關鍵是讓其無法使用並強迫受害者付款。使用大量的網路流量轟炸關鍵系統（通常是面向消費者或客戶的平台）來讓其無法連線。

雖然不再是第一首選，但還是有駭客會利用DoS攻擊來進行勒索，迫使受害者付錢。畢竟如果一個品牌網站無法被連上，就算只停擺了幾個小時也可能會讓企業失去跟潛在客戶建立業務的大好機會。

駭客通常會寄送這樣的勒贖通知給企業和消費者。

「你注意到了你的連鎖飯店最近得到許多負面評價嗎？如果你希望此問題消失，請按照下列指示…」假網路評論, 對商業信譽的影響 繼續閱讀

沒有惡意程式,不綁架檔案,一封信竟騙走一棟房子!

2018 年 10 月 12 日2022 年 11 月 02 日趨勢科技 TrendMicro

BEC詐騙有別於一般電子郵件所散播的勒索病毒和其他須仰賴惡意程式的攻擊，歹徒在詐騙過程完全不需使用惡意程式, 這些員工沒看穿的騙局,造成的損失可能比病毒還大!
前陣子美國洛杉磯的一位男子將非法取得的律師電子郵件帳號提供給其共犯使用，歹徒假冒該律師發送電子郵件給房地產交易的買方，詐騙超過千萬台幣。一封信,騙走一棟房子,一點都不誇張。

唯一的防範之道看似受害者的當下的判斷, 還好趨勢科技隨時都在開發新的機器學習(ML) 演算法來檢驗大量的資料並預測一些未知的檔案為惡性或良性,以具備人工智慧 (AI) 的資安技術防範使用者遭到電子郵件攻擊。

電子郵件帳號遭駭是今日連網世界當中經常發生的問題。網路犯罪集團駭入使用者電子郵件帳號的目的，是為了滲透企業 IT 環境，進而從事各種攻擊，包括各種詐騙、資訊竊盜、身分冒用等等。使用者若無有效的安全措施來防範電子郵件帳號遭到駭入，很可能將蒙受嚴重的損失。

電子郵件遭駭是各產業普遍的現象

電子郵件遭駭在全球各產業都相當普遍。專門從事政治相關攻擊的網路間諜集團 Fancy Bear 據報曾在今年稍早的美國參議員重新選舉期間使用登入憑證網路釣魚攻擊。Fancy Bear 集團從 2015 年起便經常登上新聞版面，目標鎖定美國、烏克蘭、法國、德國、蒙特內哥羅和土耳其等國的政治機關。

這幾年來，醫療產業已成為網路犯罪集團的熱門目標，包括波特蘭、德州、田納西、紐澤西以及其他地區都受到影響。這些醫療機構都因電子郵件帳號遭歹徒駭入並用來詐騙，進而導致資料外洩。

這類攻擊也蔓延到教育產業。今年 5 月，美國紐約州立大學水牛城分校 (University at Buffalo，簡稱 UB) 發出一份聲明表示遭到駭客攻擊，有不明數量的學生、行政人員、教授及校友的電子郵件帳號遭到駭入。在亞洲，新加坡國立大學 (National University of Singapore，簡稱 NUS) 在今年 7 月也警告全校教職員和學生小心來自某些已遭駭 NUS 帳號的網路釣魚攻擊。這些電子郵件當中含有惡意連結，指向會誘騙收件人提供帳號登入憑證的網站。繼續閱讀

匯出鉅款才知道上當! BEC 變臉詐騙/商務電子郵件詐騙一再得逞的六個因素

2018 年 09 月 27 日2018 年 10 月 09 日趨勢科技 TrendMicro

在這些年來，駭客最容易賺錢的方法之一是勒索病毒攻擊。這些攻擊利用強有力的加密技術來讓受害者無法使用自己的檔案和資料 – 然後攻擊者再出售解密金鑰來換取無法追踪的比特幣贖金。但是現在又有另一種高獲利的攻擊手法出現，特別是針對了企業。變臉詐騙攻擊或稱為變臉詐騙攻擊或稱為商務電子郵件入侵，簡稱 BEC)替駭客帶來許多賺錢的機會，而這些攻擊所使用的複雜手法及創造出來的緊迫感讓它們特別難以防範。

BEC變臉詐騙的崛起

雖然企業現在越來越意識到了BEC詐騙攻擊，但這攻擊策略其實已經讓駭客賺了好幾年。趨勢科技的研究報告指出，全球企業在2016年遭遇的BEC詐騙攻擊平均造成了14萬美元的損失。

在過去，BEC詐騙被稱為man-in-the-email詐騙，駭客利用看似真實的郵件來讓受害企業進行匯款。正如趨勢科技的研究人員所指出，這些攻擊可能以各種不同形式出現，像是假發票、CEO詐騙攻擊、帳號入侵或偽造，甚至是傳統的資料竊取。

而以駭客所賺到的錢以及他們攻擊成功的案例來看，BEC詐騙在可見的未來還是會繼續地發生。

BEC 變臉詐騙生意有多大？

駭客在兩年前的BEC詐騙攻擊平均造成14萬美元的商業損失，而這些網路犯罪分子一直以來都在精進自己獲利的能力。

到了2018年7月，美國聯邦調查局的網路犯罪投訴中心報告指出，BEC詐騙所造成的損失增加了136%，特別是在2016年12月到2018年5月之間。這意味著BEC詐騙攻擊已經造成美國企業達125億美元的損失，不管攻擊是來自國際還是國內。這些損失及駭客所賺到的錢比趨勢科技在「典範轉移：2018年資安預測」報告內的預測還要多出30億美元。