前蘇聯國家的銀行遭受商業流程入侵(BPC)攻擊,損失約4,000萬美元

不管是大型銀行還是中小企業都可能會遭受商業流程入侵(BPC)攻擊。不過還是有辦法防範或減輕它所造成的影響….

 

金融機構是商業流程入侵(BPC)攻擊的主要目標之一,就以2016年的孟加拉銀行事件為例,這起利用銀行內部流程的複雜性攻擊導致了8,100萬美元被竊走。而在最近的另外一起事件中,商業流程入侵(BPC)攻擊了多家前蘇聯國家的銀行,造成約4,000萬美元的損失。

商業流程入侵(BPC)攻擊會惡意操弄正常的內部流程。在這些最新的攻擊中,攻擊者結合了現實中的詐騙以及網路攻擊。第一部分是利用了透支額度(OD),這指的是金融簽帳卡允許使用者使用多少超出帳戶實際存款的金額。在這起案例中,攻擊者派出許多人申辦有金融簽帳卡的銀行帳戶。然後將卡片送到位於歐洲各國的惡意份子手上。

攻擊者還利用網路釣魚活動來針對銀行員工,目的是要在他們的系統上安裝惡意軟體(趨勢科技偵測為TROJ_MBRWIPE.B)。這種惡意軟體成為攻擊者進入銀行網路和系統的後門。一旦進入,攻擊者會使用銀行的VPN憑證來連上第三方的支付處理服務網路,接著植入各種惡意軟體,包括能夠連上控制卡片管理基礎設施的監控工具。同時還會安裝其他軟體如合法的監控工具Mipko來取得螢幕截圖和按鍵側錄等等。

這場精細策劃並實行的搶劫成為了商業流程入侵(BPC)攻擊的完美範例。這些攻擊是對企業來說日益嚴重的問題,根據2013年至2015年的資料,企業已經因為商業流程入侵(BPC)攻擊而損失至少31億美元 – 這數字在今日可能會更高。

五招防止商業流程入侵(BPC)攻擊

不管是大型銀行還是中小企業都可能會遭受商業流程入侵(BPC)攻擊。不過還是有辦法防範或減輕它所造成的影響: Continue reading “前蘇聯國家的銀行遭受商業流程入侵(BPC)攻擊,損失約4,000萬美元”

<企業資安> 放長線釣大魚,鎖定目標攻擊六階段

企業在規劃網路防禦措施時,務必要將全面的威脅現況納入考量,包括持續進行中的威脅以及新興起的資安問題,如此便能建立更為全面的資料防護方針。

雖然近來並沒有躍上太多新聞頭條版面,但針對性攻擊/鎖定目標攻擊(Targeted attack)仍持續對當今的企業造成威脅,負責企業資安的人員務必牢記有這個潛在風險。

鎖定目標攻擊有何特殊之處?

網路威脅犯罪者現在所用的策略,複雜精密程度前所未見。這些駭客並不僅是亂槍打鳥,希望有機會釣上大魚;目標式攻擊是更先進網路犯罪手法的一環。

與其他類型的滲透入侵不同,目標式攻擊是犯罪者鎖定某個特定受害者作為目標,緊追不放,在保持匿名的狀態下入侵目標的基礎架構。這種方式讓駭客可以運用特定的惡意程序組合和順序來侵入目標的底層系統,找出珍貴的資料,並將這類資訊移至駭客控制之下的系統。

根據趨勢科技的研究報告「瞭解目標式攻擊:六大組成」,當出現下列情況時,便在目標式攻擊的範圍內:

  1. 涉及具體確定的目標,行事高調的個人或企業都包含在內。潛藏在威脅攻擊幕後的犯罪者會花費大量的時間、心力和資源,緊咬特定的目標不放。
  2. 滲透基礎架構,以竊取資訊資產和智慧財產。若將資料賣給黑市或用於詐騙,即可讓駭客賺上一筆。
  3. 駭客緊迫盯人持續攻擊目標。趨勢科技發現,發動此類滲透攻擊的網路攻擊者會耗費必要的時間心力來執行資料外洩的階段。

趨勢科技研究人員於報告中寫道:「駭客犯罪集團越來越會特意挑選目標,少量偷竊相當特定的智慧財產、收集交易秘密、挖掘珍貴的客戶資料。為達成目標,攻擊者不但會將心力專注於特定的產業,還會針對特定企業,包括駭客想要欺騙的特定個人,以協助他們入侵目標的網路。」

鎖定目標攻擊的六個階段

除了關係到持續鎖定特定目標的駭客之外,這類攻擊的定義也包含了駭客為確保得手而採用的特定階段流程。目標式攻擊的各個階段如下: Continue reading “< 企業資安> 放長線釣大魚,鎖定目標攻擊六階段”

緊急弱點公佈,請盡速修補!

red alret 紅色警戒 資安/病毒漏洞警告

弱點編號:CVE-2017-11780

弱點說明:Microsoft Windows作業系統平台的SMB服務具有弱點, 駭客可遠端攻擊執行任何執行碼

可能影響:駭客可能進入內部網路時,利用此弱點進行內網擴散。或勒索病毒搭配此弱點進行擴散攻擊,如WannaCry

建議採取行動:1. 立即安裝Windows安全性更新 2.非必要關閉 SMB 服務

 

弱點編號:CVE-2017-11826

弱點說明:Microsoft Office RTF具有弱點,駭客可執行利用此弱點植入惡意程式

可能影響:駭客可能利用電子郵件社交工程手法,寄送帶有此弱點攻擊程式碼 Office文件給使用者。使用者開啟後將植入惡意程式

建議採取行動:1. 立即安裝Windows安全性更新 2.提醒使用者勿開啟來路不明的電子郵件附件

 

漏洞詳細說明請參考CVE網站:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-11780

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-11826

 

【BPC 商業流程入侵-優惠卷詐欺】星巴克禮品卡,企業優惠方案代碼…地下市場什麼都賣,什麼都不奇怪!

「電信公司提供給員工的語音、簡訊和網路資費特價的優惠碼 」,「飯店訂房時所輸入的企業方案優惠碼」你可以想像這些都可以被有心人士拿來販售嗎?

趨勢科技在地下市場看到許多關於詐欺自動化的產品和服務,規模大到足夠支撐起假造或濫用優惠券/促銷代碼經濟。另外值得一提的是,我們在地下市場中所看到的價格往往比合法管道更便宜3到10倍。

地下市場販賣可以檢查和暴力破解優惠券代碼的軟體。甚至提供影片教學,包括如何破解某些共乘服務的促銷碼。

 

以優惠卷形式所進行的免費贈品及折扣等詐欺行為,據報造成美國企業每年高達3到6億美元的損失。而且只要哪裡有利可圖,網路犯罪分子也就會往哪裡去。優惠券詐欺也是如此,趨勢科技發現相關活動在地下市場非常地活躍。

優惠券詐欺對企業來說代表什麼?在2012年,各大廠商都成為假優惠券受害者,一家消費性產品公司遭受了約128萬美元的損失。另一起優惠券詐欺則是在十年內從各公司竊取了至少2.5億美元

在現實中,它所產生的損失不只是無限暢飲的咖啡、免費搭車和飯店住宿,或是特價的3C產品。地下市場的優惠券詐欺可以延伸成為商業流程入侵(BPC),破壞到支撐業務運作的部分,也進而造成更大的影響。

 

優惠券詐欺和商業流程入侵

趨勢科技在地下市場看到許多種的優惠券詐欺手法。將其整合在一起,特別是關注在商業流程上,產生以下的視覺化圖表:


圖1:如何結合網路犯罪地下服務和優惠券詐欺來入侵傳統優惠卷交易的商業流程

圖2:左圖顯示出一般消費產品廠商正常的優惠券交易是如何運作,而右圖則是如何惡意利用其背後的流程
圖2:左圖顯示出一般消費產品廠商正常的優惠券交易是如何運作,而右圖則是如何惡意利用其背後的流程

Continue reading “【BPC 商業流程入侵-優惠卷詐欺】星巴克禮品卡,企業優惠方案代碼…地下市場什麼都賣,什麼都不奇怪!”

【BEC 商務電子郵件詐騙 】53億美元的損失! “變臉詐騙”就是這樣成為詐騙份子的金雞母!

新竹一間長期與中國代工廠合作的科技公司,原本都用對方「xxx@ximhan.net」信箱聯絡,沒想到歹徒另創立名稱相似的「xxx@xlmhan.net」假帳號,以定期更換受款帳戶,以免遭洗錢犯罪利用為由,要求更改受款帳戶。該公司不疑有他,一時眼花, i 跟 l 分不清,損失新台幣2千餘萬元!

記住 – 人是第一道防線。要小心注意,保持警覺。

企業在組織內部署了網路安全工具,提供了安全意識計畫,建立了標準和程序來選用產品以確保資訊安全。但是針對個人該做什麼?

這問題很真實,巨大且不斷膨脹。

mail2

2017年的上半年變臉詐騙攻擊或稱為商務電子郵件入侵(Business Email Compromise,簡稱 BEC)是企業所必須防範的最大威脅之一。根據美國聯邦調查局在5月所發布的研究報告,BEC詐騙自2013年以來在全球造成了多達53億美元的損失,而且還看不到會有減緩的趨勢。它是詐騙分子的金雞母。許多企業因為擔心對聲譽造成負面的影響,並不願公開這些問題。

BEC詐騙最常偽造的寄件者:CEO 執行長等高階主管

圖1:BEC詐騙最常偽造的來源

 

BEC詐騙最常寄釣魚信給:CFO 等財務會計人員

圖2:BEC詐騙最常見的目標

 

資訊安全計劃需要全面且共同合作的努力

資訊安全長(CISO)領導政策的制定和教育工作。資訊安全長(CISO)爭取支撐這些政策發展所需要的預算。資訊安全計劃需要建立標準。這些標準包括對安全控制的基準設定,以及根據額外風險來加強某些控制的決策程序。資訊安全長(CISO)領導技術團隊制定這些標準,並與IT、人力資源和現場資安人員整合在一起,將其納入組織的採購、開發和運作流程。資訊安全小組必須具備偵測問題、處理入侵外洩事件、解決入侵外洩所造成後果的程序,並向有關方面通報問題及提供解決方案。由資訊安全長(CISO)領導的資訊安全小組應與關鍵的第三方廠商以及合適的執法單位建立好關係。與調查人員建立關係的最糟時刻是在發生問題之後。

 

最重要的是,你的員工必須認同這計畫。

想像一下,當你公司的員工走在大廳裡,他看到有個人正在操作電腦,直覺上可能正在做不對的事情。問問自己以下這三個問題:

  • 他會判斷這行為是對或錯嗎?
  • 他會選擇回報給相關單位嗎?
  • 如果他拿起電話,會知道要打給誰嗎?

 

如果答案都是肯定的,那你的計劃有效。如果出了一個“否”,那你的計劃就失敗了。

如果這個人不知道什麼是不好的行為,他就無法辨識也不會採取行動。這是資訊安全意識的核心。

如果他即使知道這是錯的也不回報,那這計畫就失敗了。也許他聽說有人回報過問題後被排擠了;也許某人跟主管說卻得到這樣的對應,“這的確是個問題,但我們不該干涉”。這考驗到了組織文化。

如果他拿起電話,但是Helpdesk的人不知道該怎麼做,那這計畫也失敗了。這考驗到了組織的程序。

請注意,這些結果跟組織所用的技術無關。技術很重要,加以投資是必須的,但這並不保證就能得到保護。如果沒有正確的安全意識,正確的文化,以及正確的程序來加強這種文化,那麼不管多大的投資也不會成功。

 

@原文出處:Cybersecurity in the Workplace is Everybody’s Business 作者:William “Bill” Malik(CISA VP Infrastructure Strategies)

 

Gartner:未來三年內,99%的防火牆被突破事件是因為設定錯誤

最佳實作:有效部署防火牆

八月初,惡意軟體入侵北卡羅來納州一家變速箱工廠的電腦網路和系統。這起攻擊原本可能造成高昂的損失,因為工廠如果無法製造並將汽車零組件送至美國各地工廠,每小時損失高達27萬美元,不過這工廠有一道防火牆擋在工廠關鍵系統和駭客之間,當惡意軟體試圖結束他們網路時加以阻止。

就如同其名,防火牆是防禦網路犯罪的第一道防線。它們檢查、控制和封鎖進出的網路流量。經過你系統的資料必須先通過防火牆,如果沒有符合設定規則就會加以檢查或封鎖。

但維護公司防火牆是件艱鉅的工作,特別是當要保護的網路包含了客戶端、端點系統、伺服器和其他設備時,每個都有自己的連線需求。如果管理或部署不當,防火牆會讓你的組織出現攻擊者可用來侵入你網路的安全漏洞。Gartner公司甚至預測在未來三年內,有99%的防火牆被突破事件會是因為設定錯誤造成。

防火牆是你的第一道防線:它們按照規則審查進出的網路流量是否有惡意內容。

要建立防駭客的防火牆並沒有萬用通則,但有方法能夠幫助簡化管理。每個組織都有自己獨特而具體的要求,底下的建議可以幫助你開始管理防火牆,讓你和你的公司不會被燒到。

 

什樣的防火牆適合你?

防火牆有網路型和主機型。網路防火牆被放在閘道(檢視內部電腦與外部網路間的網路流量), 像是放在區域網路和廣域網路(LAN / WAN)或內部網路間。主機型防火牆最顯著的例子就是在2004年被整合到Windows XP,定位是放在有連線的端點上,成為作業系統(OS)或安全應用程式的一部分。

關鍵是連線從哪裡發起以及要在哪裡進行檢查和攔截。評估自己的選擇和定義自己的安全需求。你的網路和系統需要什麼?你的網路會進行什麼類型的連線?有足夠資源加以執行嗎?誰負責管理防火牆?這足夠遏制和防止入侵嗎? Continue reading “Gartner:未來三年內,99%的防火牆被突破事件是因為設定錯誤”

行動裝置應用程式安全-六個開發人員須知

根據報導,2016 年有 69% 的企業部門使用兩至五種行動裝置應用程式,前一年增加 66%。

對企業而言,行動平台確實已經無所不在。它和許多新興的平台一樣,將會創造龐大的機會,尤其是以企業為目標的開發人員,

但這將對資料處理方式帶來何種影響?

[請參閱:行動裝置應用程式如何成為下一波網路犯罪的邊境]

根據報導,光是 2017 年 6 月,就有超過 1,000 個 Android 及 iOS 企業應用程式在應用程式與後端系統之間有不安全的通訊,暴露的資料量大約有 43 TB,至少有 39 個受影響的應用程式洩漏了 2.8 億筆個人身分資訊 (PII)。2016 年的一項研究發現,醫療保健及金融相關的行動裝置應用程式中,有 90% 含有重大的安全漏洞。

這些資訊呼應了「開放網路軟體安全計畫」(Open Web Application Security Project,OWASP) 最新版的常見行動裝置風險列表,這些風險包括多餘的功能、不安全的資料儲存方式及網路,有些應用程式幾乎完全沒有驗證及加密機制,無法阻止駭客進行逆向工程,重新封裝、欺騙或修改應用程式。

舉例來說,這些應用程式秘密允許存取裝置功能 (例如相機或錄音程式) 及各種個人身分資訊 (例如相片、聯絡人、簡訊、行事暦、位置及瀏覽記錄)。這些應用程式如果落入網路犯罪者的手中,顯然會帶來嚴重的後果。

無論是企業,或是一般使用者,隱私也是行動裝置應用程式重要的議題,行動裝置應用程式必須徹底檢查安全性,以免資料遭到濫用及感染惡意程式。最近發生在 UberBrightest FlashlightPathKim Kardashian: Hollywood 行動裝置應用程式,以及小米的智慧型手機等事件,都是最佳的案例。

[請參閱:2016 年行動裝置威脅概況]

由於職場自攜設備 (BYOD) 工作方式的盛行,各種應用程式使用相同的網路,存取相同的資料,行動裝置生態系統讓工作與個人用途之間的界線更加模糊。儘管有各種挑戰,行動裝置應用程式開發人員仍有一些對策可提供企業資源,同時不犧牲企業的安全性與個人隱私。

六個開發人員須知:

1.    強制實施最小權限原則

將您應用程式執行時的權限要求,限制在必要的資訊或裝置元件範圍內。安全漏洞及惡意程式會利用使用者提升的權限。行動裝置並無不同。瞭解您所收集的資料,讓您可以清楚地定義您應用程式的信任邊界。確保您的應用程式設計介面 (API) 在其工作流程中實行此原則。

[趨勢科技白皮書:虛假應用程式:假冒真實性]

2.    實行堅實授權及多要素驗證

應用程序的驗證及授權中的缺陷,是行動裝置威脅常見的攻擊途徑,這些管道讓駭客透過中間人攻擊冒充其他使用者,或者存取裝置或應用程式的功能 (繞過 PIN 碼、將惡意程式碼注入應用程式等)。這些都是網路銀行應用程式的致命傷,例如取得一般使用者的銀行帳戶並竊取金融記錄,即可藉此獲利。開發人員應保護各項功能的安全,例如驗證員工的使用者身分,或判斷消費者可在應用程式中存取或執行哪些資源。 Continue reading “行動裝置應用程式安全-六個開發人員須知”

下載應用程式至業務用手機,沒關係嗎?

 

下載應用程式至業務用手機,沒關係嗎?

下載應用程式至業務用手機,沒關係嗎?

下載應用程式至業務用手機,沒關係嗎?

下載應用程式至業務用手機,沒關係嗎?

是否曾經下載應用軟體至公司所配給的手機上?一般而言只要智慧型手機一到手,任何人都會想要下載自己喜歡的應用軟體吧。但是,公司所配給的智慧型手機未經過公司同意是嚴禁擅自下載應用軟體。

一般人透過第三方應用程式商店和分享網站下載時,往往不會檢查所下載應用程式的真實性,不瞭解這些應用程式中有很大量是惡意的。網路犯罪分子經常會偽裝成新或受歡迎應用程式的合法下載來誘騙使用者,如Super Mario Run(超級瑪利歐酷跑)。讓某些應用程式特別危險的是,它們運作起來看似很像真正的應用程式,但會包含其他的惡意程式碼,如垃圾廣告,甚至是惡意軟體。 Continue reading “下載應用程式至業務用手機,沒關係嗎?”

勒索病毒大小通吃不留餘地! 別再說我公司很小它看不上眼

對於大小通吃的 勒索病毒 Ransomware (勒索軟體/綁架病毒)來說,任何企業都不會太大、也不會太小。2016 年,勒索病毒在全球所造成的損失總計超過  10 億美元 。勒索病毒災情有多慘重,看看前一陣子才大爆發的WannaCry(想哭)勒索蠕蟲 和 Petya 就知道:數以千計的企業因而停擺。受害的 醫療機構不是停止門診、就是 關閉急診室。而汽車製造商也 停止生產 ,此外電力輸送也因而 中斷

其實,勒索病毒 一直在不斷演進,因此 IT 系統管理員和資安人員必須隨時嚴加戒備,部署一套縱深防禦策略來守護珍貴的企業資產,一般使用者也需主動養成良好習慣以保護自己。

以下將介紹八個企業防範勒索病毒的最佳實務原則與良好習慣。

1.     「3-2-1 備份原則」:定期備份您的檔案

勒索病毒利用的是受害者害怕電腦被鎖住或個人重要資料救不回來,或者企業營運關鍵資料無法存取而導致企業停擺的恐懼心理。因此,只要妥善備份好您的資料,勒索病毒就不構成威脅。請謹守「3-2-1 備份原則」:三份備份、二種不同儲存媒體、一份放在異地保存。當您在備份資料時,務必確認備份資料完整無誤。因為,萬一備份資料有問題,當您真正需時將派不上用場。因此請定期測試您的備份作業是否正常運作,備份資料是否能夠正常讀取。盡可能簡化您的備份程序並且留下書面記錄,這樣當有需要時您的人員才能輕鬆找到。

2.     隨時保持軟體與作業系統更新

許多檔案加密勒索病毒都是利用軟體的漏洞來進入系統,例如 WannaCry 就是利用 EternalBlue 漏洞攻擊工具來入侵系統,讓它能像蠕蟲一樣在網路內四處流竄。

因此,只要定期更新和修補軟體與作業系統的漏洞,就能有效防範這類攻擊。至於零時差漏洞 以及廠商還來不及釋出更新的漏洞,則可考慮採用虛擬修補技術來防範。

3.     養成安全的系統元件與管理工具使用習慣

網路犯罪集團越來越常利用一些正常的系統管理工具來安裝與執行惡意程式。這樣的手法不僅方便、有效率,而且不易被發現。 Continue reading “勒索病毒大小通吃不留餘地! 別再說我公司很小它看不上眼”

企業資安:如何防範中間人 (MitM) 攻擊?

網路基礎架構是企業使用者溝通及分享資訊的主要管道,因此,對於企圖滲透企業以竊取企業資料或者造成企業停擺的駭客來說,網路基礎架構是他們攻擊的首要目標。

中間人攻擊 (Man-in-the-Middle Attack) 簡稱 MitM攻擊,是一種從中「竊聽」兩端通訊內容的攻擊手法,可能對企業造成重大威脅。由於駭客不僅能從中接收資料,還能從中插入自己的資料,因此企業所傳輸的資料不僅可能外流,更可能遭到竄改。有鑑於企業網路很可能會傳輸一些關鍵的資料,因此 MiTM 攻擊是 IT 人員必須正視的重大真實威脅。

要防範 MiTM 攻擊,IT 人員首先要了解網路犯罪集團攻擊使用者和企業機構的各種技巧,如此當自己遭到攻擊時才能有所警覺。

位址解析協定 (ARP) 快取汙染

位址解析協定 (Address Resolution Protocol,簡稱 ARP) 是一種透過資料連結層 (data link layer) 將網路位址 (如 IPV4 和 IPV6) 對應到實體位址 (如 MAC 位址) 的通訊協定。基本上主機必須發送一個 ARP 請求到某個 TCP/IP 網路上來查詢對應的實體位址。但因為 ARP 協定安全性的問題,歹徒可能利用一種叫做 假冒 ARP 資料 (ARP Spoofing) 的技巧來發動 MiTM 攻擊。

由於 ARP 協定缺乏認證機制,因此駭客可以發送一個假的 ARP 訊息到區域網路 (LAN) 上,讓駭客鎖定的目標主機 IP 位址改對應到駭客電腦的實體位址。如此一來,原本要傳送給目標主機的網路流量都會改傳送至駭客的電腦。駭客接收到網路流量之後就能從事監聽或篡改通訊內容。 Continue reading “企業資安:如何防範中間人 (MitM) 攻擊?”