防假冒企業高層主管的BEC變臉詐騙攻擊 趨勢科技首創採人工智慧分析技術防範電子郵件詐騙

 

【2018年4月17日,台北訊】全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 今天發表一項專為提升變臉詐騙攻擊防範能力的最新技術。這項以人工智慧 (AI) 為基礎的創新技術將整合至趨勢科技多項產品當中,應用在發現專門假冒執行長或其他重要人士名義所發出的電子郵件時提供警告。

防假冒企業高層主管的BEC變臉詐騙攻擊 趨勢科技首創採人工智慧分析技術防範電子郵件詐騙

研究機構 Osterman Research 分析師 Michael Osterman 指出:「這是我第一次看到業界推出電子郵件寫作風格分析。這對於將 AI 應用在網路資安領域以防範今日最嚴重透過電子郵件所進行的網路詐騙攻擊是相當令人振奮的示範。」

趨勢科技 Writing Style DNA (寫作風格 DNA) 可針對變臉詐騙提供更進階新的防護,採用 AI 來建立使用者寫作風格的「微跡證」,其中包含了 7,000 多項寫作特徵。當遇到疑似假冒重要人士名義發出的電子郵件時,就可利用人工智慧來分析其寫作風格,並且發送通知給寄件人、收件人和 IT 部門。

趨勢科技執行長陳怡樺表示:「未來的威脅情勢需要具備人工智慧的防護來結合專家規則和機器學習。我們很榮幸能夠再次成為這個領域的先驅。」

她補充道:「這項新的技術對於我們現有的電子郵件防護以及我們免費提供給企業的網路釣魚模擬與意識提升服務,可說是完美的搭配。在這個電子郵件詐騙方式日益精密且損失慘重的大環境下,企業機構有必要設置多層防護來自我保護。」

趨勢科技2017 年攔截到的所有勒索病毒當中有 94% 都是經由電子郵件散布。此外,預計在2018 年全球變臉詐騙損失總金額將高達 90 億美元,平均每一件變臉詐騙損失約 132,000 美元。因此,企業有必要透過訓練和技術雙管齊下來防範網路釣魚。 Continue reading “防假冒企業高層主管的BEC變臉詐騙攻擊 趨勢科技首創採人工智慧分析技術防範電子郵件詐騙”

企業資安簡易指南:取下欺詐性網域(下)

可疑網域被用來進行詐騙前先加以監控和偵測,那然後呢?受影響企業應該要讓其失效,讓惡意份子無法用它們進行攻擊。但要如何取下(takedown)這些欺詐性網域呢?

首先先考慮法律面:這部分相當重要,而且會因國家而有所不同。有些國家的法律會要求網路服務商(ISP)積極應對網路詐騙,但其他則沒有。

企業資安簡易指南:取下欺詐性網域(下)

當涉及欺詐性網域或是遭到惡意使用時,協同合作是相當重要的,從IT/資訊安全人員以及防護公司網路邊界的系統管理員,一直到決策者和ISP。事實上,大多數的網路服務商都非常積極回應並願意協助打擊詐騙,特別是其基礎設施或服務遭到濫用時。

當被通知網路犯罪或詐騙活動,甚至是網域名稱侵權商標時,網路服務商通常會積極地主動處理。能夠熟悉ISP、電腦資安事件應變小組(CSIRT)及電腦緊急應變小組(CERT)如何處理這些事件也會有所幫助。

(欺詐性)網域名稱包含什麼?

欺詐性網域指的是本身違反規定或被用來進行詐騙的網域名稱。例如網域名稱包含品牌或公司名稱;欺詐性網域本身已經構成商標侵權。這是最簡單取下網域的例子,原因很明顯。

但網域名稱也可能跟公司或品牌無關,卻被用在網路犯罪活動。比方說用來寄送夾帶惡意軟體的電子郵件或放有詐騙內容(如魚叉式釣魚攻擊)。 Continue reading “企業資安簡易指南:取下欺詐性網域(下)”

公家機關該如何因應 GDPR歐盟通用資料保護法 ?

 

GDPR 與公家機關:安全與公共利益的取捨企業機構正為了符合即將在五月上路的歐盟通用資料保護法 (General Data Protection Regulation,簡稱 GDPR) 而忙於重整其資料蒐集與管理政策。GDPR 的影響範圍非常廣泛,涵蓋任何會蒐集並處理歐盟人民個人資料的企業機構,甚至非設在歐盟地區的機構也在涵蓋範圍內。然而,絕大多數的討論都圍繞在民間機構即將面臨的安全與資料相關問題。公家機關的情況則鮮少論述。GDPR 知道,為了公共利益,公家機關在某些特殊情況下必須擁有某些法律上的轉圜空間,尤其是牽涉到安全與醫療。

GDPR 針對公共事務的除外狀況

GDPR 的規範涵蓋所有類型的個人資料,包括可用來識別個人的所有資訊,如:姓名、社會安全碼,以及一些特殊資料,如政治主張和種族。這些都是公家機關經常會蒐集到的珍貴資料,包括:人口普查、選舉部門、醫療及就業團體等等。而這些資料在許多情況下,很可能被有心人士拿來對個人不利,因此才會有制定資料保護法的必要。

雖然 GDPR 針對個人資料的蒐集、管理與處理訂定了許多規範及嚴格的安全標準,但在某些情況下,GDPR 對於擔任資料掌控者與處理者的公家機關卻有些放鬆的規定。視歐盟或會員國的法律而定,這些豁免狀況包括:

  • 為了履行資料掌控者或資料擁有人在就業與社會安全及社會保護法中的某些權利。
  • 為了國防、犯罪調查、保障公共安全。
  • 為了歐盟會員國與歐盟整體的金融或經濟利益。
  • 為了公共利益而必須歸檔、為了科學或歷史研究之目的,或為了統計之目的,但僅限於必須獲得豁免才能完成該項工作時。

基本上,這些都是公共安全和學術工作相關的特定領域公家機關活動。在一般情況下,公家機關依然全面適用 GDPR,因此公家機關仍必須遵守其資料蒐集與處理規定。

特殊類型資料的處理

GDPR 有很大部分都是關於認定哪些類型的資料屬於個人資料,以及企業機構該如何處理這些類型的資料。該法對於個人資料的規定相當完整,並且禁止處理有關人種、種族、政治、宗教、信仰、基因與生物特徵,以及有關健康和性別傾向的資料。當公家機關在某些情況必須取得上述類型的資料時,GDPR 也明確訂定了禁則例外情況,包括:

  • 若資料之處理有重大公眾利益之必要,那麼 GDPR 仍有一些轉圜空間,唯必須設置適當的機制來保障該人民的基本權益。
  • 若資料之處理「有建立、執行或捍衛法律主張之必要,或當法院在執行其司法公務時」。
  • 若資料之處理牽涉公共衛生領域,或者為了維持醫療照護、醫藥或醫療服務之高標準時。
  • 若資料之處理為了公共利益而必須歸檔、為了科學或歷史研究之目的,或為了統計之目的而必要時。

當然,這些是在歐盟或會員國法律能確保其人民基本權益的情況下所訂的例外狀況。

公家機關人員會處理到一般民間企業無法取得的敏感資料,從社會安全碼到人種與生物特徵等資料,甚至牙醫就診記錄與完整的就醫記錄。因此公家機關和機構務必妥善保管所有人民委託給他們的資料。萬一這些資料落入網路犯罪集團手中,很可能將導致人民身分遭到冒用,進而引發嚴重後果。

公家機關該如何因應?

許多民間企業都在積極更新其資安防護並大肆翻新其作業流程來配合新的 GDPR 標準以保障資料安全。除此之外,也積極試圖達成該法對於資料擁有人的同意權及被遺忘權的規定。然而,公家機關基於公共利益的關係,在後者方面有較大彈性,但這項彈性也意味著資料的防護更加重要。

公家機關的挑戰在於根據 GDPR 的豁免情況來將資料分類,並且調整其政策和流程來配合歐盟和國家的法律,更新其資安防護,並且確保資料流程的安全。不論是否具有豁免權,採用最新、最頂尖的資安防護終究還是能夠讓公家機關獲得安全上的優勢。

為了做到更安全的資料蒐集與管理以符合 GDPR 規範,公家機關應採取以下步驟:

1.首先,掌握資料的流向並做好風險評估:您手上有哪些資料?蒐集該項資料的目的為何?其處理方式是否符合公共利益?誰可以存取這些資料?是否能將該資料刪除?

企業機構應採取最少資料的原則,換句話說,將所有從客戶或人民蒐集來的非必要資料刪除。

2.接著,檢討並更新您的資料蒐集與使用者同意政策,記住哪些是法規上具有豁免權的資料。

3.聘任一位資料保護長 (DPO),並確保 DPO 和資料擁有人之間保持暢通的溝通管道以防有任何疑慮 (例如要求資料從任何資料庫刪除)。

4.更新網路資安解決方案與資安政策。關於資料,GDPR 規定企業機構必須採取「適當的技術與組織手段」來確保其儲存與處理的安全。

法規規定企業機構應考慮建置「頂尖」的資安防護,因此可考慮採用第一線的資安品牌。

5.若您負責處理資料,請保留完整的活動記錄。GDPR 規定,企業機構必須記錄一些資料處理的細節,如:個人資料的處理時間、處理人員、處理方式等等。

6.檢討現有的服務供應商或廠商,包括任何負責幫您處理資料的人,他們也必須符合 GDPR 的規範。您應更新您和供應商之間的所有契約,要求他們承諾遵守法規並保障個人資料的隱私。

7.不論是資料掌控者或處理者,GDPR 對於資料外洩事件的通報規定更加嚴格,罰鍰也更高。檢討並更新通報政策,模擬一下可能發生資料外洩狀況。

以上清單雖不盡完整,但仍有助於公家機關開始著手。

歐盟會員國還有以下額外責任:
1. 必須設置一個監理單位來負責監控並強制執行法規以及其他工作
2. 此外也必須填補許多法律上的空缺。GDPR 保留了許多空間給各國政府來加入具體的管制或除外情況。該法規只規定了一些最低要求,會員國可自行決定是否進一步限制或放寬規定。

更多的個人資料,意味著更大的責任。結論是,企業機構在制定資料管理政策及程序時必須隨時注意隱私權。公家機關或許希望能提供快速而高效率的服務,但考量當前的威脅情勢,安全依然是第一要務。更有效率且更安全的資料管理對任何機構來說都是無價之寶,尤其是牽涉到公共利益,以及身處於今日連網的資料導向世界。

看看趨勢科技如何協助您達成 GDPR 要求
原文出處:Balancing Security and Public Interest: The GDPR and the Public Sector

上千個採用 Magento 架設網站遭入侵,竊取信用卡資料並安裝挖礦程式

資安研究人員指出,全球約有 25 萬商家採用的 Magento開放原始碼電子商務內容管理系統 (CMS) 平台,日前傳出至少有上千個採用該平台架設的網站遭駭客使用暴力破解方式入侵,不僅竊取了信用卡資料,更在系統上安裝虛擬貨幣挖礦惡意程式。然而,駭客在這些攻擊當中並未用到任何漏洞。

上千個採用 Magento 架設網站遭入侵,竊取信用卡資料並安裝挖礦程式
上千個採用 Magento 架設網站遭入侵,竊取信用卡資料並安裝挖礦程式

 

[延伸閱讀:KimcilWare 勒索病毒攻擊 Magento 網站]

駭客使用常見、已知、或預設的帳號密碼來登入系統

此事件當中的 Magento 網站是遭駭客使用一些常見、已知、或預設的帳號密碼來登入系統。經驗老道的駭客會利用腳本來將其攻擊自動化 (也就是所謂的「字典式攻擊」)。駭客一旦入侵了網站,就會在其核心檔案 (也就是應用程式記憶體內容的時點快照) 當中注入惡意程式碼,進而存取處理付款/信用卡資料的網頁。他們會攔截並竊取網站伺服器所收到和處理的敏感資料。 Continue reading “上千個採用 Magento 架設網站遭入侵,竊取信用卡資料並安裝挖礦程式”

趨勢科技如何攔截 340 萬個高風險威脅,提升 Office 365 安全?

 

這份報告深入探討了 2017 年的電子郵件威脅與資安情勢,希望讓企業對其面臨的威脅有更清楚的認識,並且知道該如何加以防範。

 

趨勢科技如何攔截 340 萬個高風險威脅,提升 Office 365 安全?電子郵件是今日的頭號威脅來源。2017 年,94% 的勒索病毒都是經由電子郵件散布。此外,包括執行長詐騙在內的變臉詐騙 (BEC) 數量從 2017 年上半年至下半年大幅成長 106%。在此同時,企業正一窩蜂地將電子郵件系統移轉至雲端。目前 Microsoft Office 365 上已有 1.2 億的企業使用者。而 Office 365 的成功也意味著更多電子郵件威脅將針對雲端使用者。

趨勢科技 Cloud App Security™ (CAS) 是一套以應用程式開發介面 (API) 為基礎的服務,能保護 Microsoft® Office 365™ Exchange™ Online、OneDrive® for Business 以及 SharePoint® Online 等平台。它具備多重進階威脅防護,能擔當 Office 365 內建的電子郵件與檔案掃瞄之後的第二道防護。

2017 年,趨勢科技 Cloud App Security 成功偵測並攔截了 340 萬個高風險的電子郵件威脅,而這些威脅都是 Office 365 內建防護所遺漏的,其中包括:260,000 個未知惡意程式、50,000 個勒索病毒,以及 3,000 個變臉詐騙攻擊。

趨勢科技 Cloud App Security 的客戶通常在建置了這套解決方案之後都能看到立竿見影的效果。美國 Live Nation 娛樂公司部署了趨勢科技 Cloud App Security 之後,減少了 90% 的惡意程式感染,大幅減輕事件應變團隊的負擔。愛爾蘭 科克大學 (University College Cork) 自從建置了 CAS 之後,就再也沒有感染過勒索病毒。芬蘭包裝材料大廠 Walki 集團的資安報告顯示,CAS 每星期都攔截到不少次包含勒索病毒在內的威脅。

即使是已經內建 Microsoft Advanced Threat Protection 進階威脅防護的 Office 365 企業版 E5 方案,趨勢科技 CAS 同樣也能適用。歐洲一家全球性運輸貨運公司即採用 E5 方案並有 25,000 多名電子郵件使用者,但該公司仍經常遭到勒索病毒攻擊。該客戶使用趨勢科技 Cloud App Security 來手動掃瞄三天的電子郵件和 OneDrive 資料之後,在電子郵件內發現了 3,000 個進階網路釣魚、28 個勒索病毒以及一個變臉詐騙。此外也在 OneDrive 上發現了四個勒索病毒檔案。

更多詳細內容,請參閱以下報告來了解 CAS 可攔截的威脅類型以及 2017 年 Trend Labs 所發現的常見電子郵件攻擊。

 

電子郵件中的一個惡意的Word或一個 PDF 附件讓全球企業付出慘痛代價

電子郵件是企業必備的一項生財工具,讓企業員工、客戶和供應商之間能夠順利溝通,其功能和系統能夠有效帶動企業營運必要的一些重要元素。所以,電子郵件成為網路犯罪集團散布誘餌以從事不法行為的管道,也就不令人意外。

一個惡意的Word或一個 PDF 附件讓全球企業付出慘痛代價

電子郵件至今仍是惡意程式及其他威脅最常見的感染途徑:根據 Smart Protection Network™ 全球威脅情報網 2017 年的資料顯示,94% 的勒索病毒威脅都來自電子郵件,此外,變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise-BEC)從該年上半年至下半年成長了 106%。多年來,全球各地的企業機構都曾經只因為一個惡意的 Microsoft Word 文件或一個 PDF 附件檔案而付出慘痛的代價:高額的贖金、系統癱瘓、商譽受損。

趨勢科技 Cloud App Security™ 解決方案是一套以應用程式開發介面 (API) 為基礎的服務,能保護 Microsoft® Office 365™ Exchange™ Online、OneDrive® for Business 以及 SharePoint® Online 等平台。它可擔當 Office 365 的電子郵件與檔案掃瞄之後的第二道防護。藉由機器學習和沙盒模擬惡意程式分析來偵測勒索病毒、變臉詐騙以及其他進階威脅,有效遏止不斷繁衍的電子郵件威脅。Cloud App Security 能偵測已知及未知的電子郵件威脅,防止威脅滲透到雲端服務內。

2017 年 趨勢科技 Cloud App Security偵測並攔截了 340 萬個高風險電子郵件威脅

趨勢科技如何攔截 340 萬個高風險威脅,提升 Office 365 安全?

2017 年一整年,Cloud App Security 偵測了 65,000 個已知的木馬程式、蠕蟲、病毒及後門程式。Cloud App Security 的分類引擎在第二季經過強化之後,光 2017 年後三季就偵測了 50,000 多個勒索病毒與 3,000 多個變臉詐騙威脅。此外,其執行前靜態機器學習與沙盒模擬分析引擎也攔截了 26 萬個未知的電子郵件威脅。同期,該解決方案也攔截了 280 萬個已知惡意連結及 19 萬封網路釣魚郵件。除了 Office 365 內建的威脅掃瞄之外,Cloud App Security 本身就偵測並攔截了 340 萬個高風險的電子郵件威脅。 Continue reading “趨勢科技如何攔截 340 萬個高風險威脅,提升 Office 365 安全?”

企業資安簡易指南:網域監控 – 如何在網路釣魚出現前主動偵測並封鎖?(上)

網路釣魚(Phishing)是最古老的網路騙局之一。已經普遍到每個使用者和企業都可能看過好幾個釣魚網頁。許多防止網路釣魚建議都會教使用者如何避免或防禦網路釣魚攻擊,但使用者(特別是企業)該如何在它們出現前主動偵測並封鎖呢?

企業資安簡易指南:網域監控 – 如何在網路釣魚出現前主動偵測並封鎖?(上)

網域名稱內有什麼?

許多網路釣魚攻擊(特別是關於金融詐騙和信用卡資料竊取)都會複製正常網頁來偽造出詐騙網頁。例如,使用者可能會被騙去點入詐騙郵件內的連結,雖然他以為自己點的是正常電子郵件。結果就會被送到詐騙者所控制的山寨網頁。一旦使用者在該網頁輸入自己的帳號密碼和信用卡號,網路犯罪分子就可以攔截並竊取。

有許多種方法可以用來建立假網頁。最常見的是購買或註冊跟正常網域非常相似的新網域,然後放上詐騙網頁。接下來詐騙者就可以寄送網路釣魚郵件來吸引使用者連上。

這些準備工作可能需要數小時或數天,取決於註冊服務商的回應,代管服務的處理速度及詐騙者自己的時間安排和技術能力。所以企業就可以對新網域註冊進行監控和偵測。但具體該如何運作呢?

如何處理網域名稱?

網域名稱是一組定義網路行政自治權、管理權或控制權的字串。網域名稱由網域名稱系統(DNS)的規則和程序構成,並且以階層式架構組織起來。它由“DNS根網域”開始,接著是用“.”(點)隔開的下級或子網域。

比方說網域名稱trendmicro.com,裡面有第一級的“.com”和第二級的“trendmicro”。第一級稱為“頂級網域(TLD)”。它們分成幾類:

  • gTLD – 通用頂級網域;原本只有7個(.com、.edu、.gov、.int、.mil、.net、.org),但現在變得多很多
  • ccTLD – 國碼頂級網域;這些由各​​國所擁有,如法國的.fr,台灣的.tw等。

Continue reading “企業資安簡易指南:網域監控 – 如何在網路釣魚出現前主動偵測並封鎖?(上)”

Memcached DDoS 攻擊的 PoC 漏洞程式碼遭公開,自我防禦四措施

三月初發生了兩起破記錄的分散式阻斷服務 (DDoS) 事件。第一起是 GitHub 遭到史無前例 1.35 Tbps 的 DDoS 攻擊;五天後 Arbor Networks 證實,一家美國服務供應商遭到 1.7 Tbps 的 DDoS 攻擊。自從攻擊者開始濫用 Memcached 伺服器放大資源,分散式阻斷服務攻擊 (DDoS) 攻擊的等級就急遽上升。

Memcached DDoS 攻擊的 PoC 漏洞程式碼被公開

Memcached 伺服器如何遭到濫用?

攻擊者假冒目標的 IP 位址,向許多 Memcached 伺服器送出請求,而目標接收到的回應流量,可能高於請求本身 50,000 倍,導致受害者的網站遭到龐大的惡意流量轟炸。這種手法類似於反射攻擊,其曾在 2013 年及 2014 年引發災情,但這次使用的服務不同,威力更加強大。

最近,Memcached 放大式攻擊的兩種概念驗證 (PoC) 漏洞程式碼,顯示出這類大規模 DDoS 攻擊的發動方式。第一個PoC 名為 Memcrashed,位於 Python 指令碼中,其藉由 Shodan 搜尋引擎鎖定易受攻擊的 Memcached 伺服器,再透過它們攻擊目標。只需幾秒鐘執行工具,就能完成這項過程。

第二個 PoC 則發佈在 Pastebin 上,其以 C 語言寫成,附有 17,000 個易受攻擊的 Memcached 伺服器清單。這個指令碼會使用清單上的伺服器,針對特定目標發動 DDoS 攻擊。

使用者該如何緩解這類威脅?

DDoS 攻擊利用 Memcached 伺服器的消息傳出後,尋求解決方案的討論也隨之展開。除了通用的 DDoS 防護服務以外,有位研究人員提出一種針對 Memcached 伺服器的緩解技術。

memcachedserv

這項「銷毀開關 (kill switch)」的機制經測試證實完全有效。採取「全部清除」的方法,可使易受攻擊的伺服器快取徹底失效,進而阻止 DDoS 攻擊者的惡意酬載。

許多網站業主隨後展開行動,報告指出,數台明顯易受攻擊的 Memcached 伺服器在首起 DDoS 攻擊發生後停止運作。Memcached 團隊也著手處理伺服器濫用的問題,並於 2 月 28 日的安全版本更新中發佈 1.5.6 版。

除了將伺服器更新至最新版本,並使用「全部清除」的緩解技術之外,擔心遭受 DDoS 攻擊的使用者還可採取以下四個措施:

  1. 確認伺服器是否必要開放外部存取,並盡量避免使用可公開存取的工具。
  2. 確保上游供應商不只一家,如此在主要供應商遭到大量攻擊時,即可容錯轉移至其他連結。
  3. 確認網路供應商採取防偽措施 (例如 BCP38 和 84),以免 DDoS 反射攻擊使用這類假冒封包入侵網路。
  4. 確認網路是否有良好的流量監控功能 (傳入和傳輸流量均需要),並使用網路入侵防護工具,例如 趨勢科技的Deep Discovery Inspector及 TippingPoint。趨勢科技Deep Security 也提供多種網路安全功能,如深度封包檢測、入侵防禦 (IPS)、主機防火牆等。已發佈下列 IPS 規則,以利主動防範上述威脅:

    – 1008918-Identified Memcached Amplified Reflected Response
    – 1008916-Identified Memcached Reflected UDP Traffic

DDoS 攻擊強度遽增,如今隨著 PoC 公開,預計攻擊會越來越頻繁。網路罪犯也會不斷嘗試強化威脅,並設法從攻擊中牟利。使用者必須保持優勢,搶先行動,保護好伺服器安全,防患於未然。

◎原文來源:PoC Exploits for Memcached DDoS Attacks Published Online

了解網頁竄改(Web Defacement)的動機和作法

突發事件會引發特定的網頁竄改(Web Defacement)攻擊;查理週刊總部槍擊案和對敘利亞阿勒坡的攻擊都引發一連串的網頁竄改活動。近 20年來網頁竄改的手法有何演進?

了解網頁竄改(Web Defacement)的動機和作法網頁竄改(Web Defacement)長久以來被攻擊者利用來駭入網站並進行破壞。這些攻擊者(被稱為Web Defacer)通常會將原本的網頁置換成自己的內容,大膽地去表達政治或社會訴求。這並不新,而是長期以來都有的現象。趨勢科技分析了近20年來的資料,可以看到進行網頁竄改的手法到目前都還在用。

之前的研究都專注在偵測這些攻擊,並沒有探討其背後的原因或動機。駭客主義者(Hacktivist)佔了其中一部分,他們利用網頁竄改來表達他們的訴求,不過Web Defacer可能有許多不同的動機。我們研究的重點在於會觸發網頁竄改的事件和攻擊者所用的方法。我們檢視來自世界各地多達1,300萬份的相關報告。利用機器學習收集、分析和關聯這些報告,以便更加深入了解網頁竄改的模式。

網頁竄改的原因

我們的研究顯示駭客進行網頁竄改往往是由於政治事件或衝突所造成,許多知名的網頁竄改活動都不是單一事件,而是有不同攻擊者發動和支持。

大部分的攻擊都跟近幾十年來的激烈政治衝突有關。突發事件會引發特定的網頁竄改攻擊;查理週刊總部槍擊案和對敘利亞阿勒坡的攻擊都引發一連串的網頁竄改活動。

在某些案例中,網頁竄改攻擊起因於邊界衝突或政治立場的對立。南海周邊的幾個國家現在正捲入領土爭議,Defacer也在網路上攻擊對方。被稱為“#OpIndia”的活動涉及印度與其鄰國孟加拉和巴基斯坦間的邊界糾紛,而“#OpIsrael”則是以色列和巴勒斯坦間爭議的現代表現方式,這爭議可追溯至四十年代。

網頁竄改的團體及其策略

進行網頁竄改的團體有很多種。通常都是本地駭客為了共同議題而進行,但有時候活動也可能變得國際化。這些團體利用社群媒體來相互溝通,取得支援、組織活動。他們也互相分享工具。有時候,他們會在進行網頁竄改時使用特定範本,這些都會傳送給支持者。

而且還不止於此。Defacer之間會分享駭客工具和教學影片,甚至是漏洞攻擊碼。他們的犯罪行為會趨於越來越升級。

Web Defacer的演進

目前多數的攻擊團體並不會從網頁竄改中獲利。不過隨著這些攻擊者不斷成功地攻擊網站,對任何駭客來說下一個階段都是為了可以從活動中獲利。這對獲得受駭網站存取能力的他們來說是很容易的。比方說他們可以被置換的網頁中進行惡意的重新導向或放置漏洞攻擊碼,以便在訪客電腦上安裝勒索病毒 Ransomware (勒索軟體/綁架病毒)。

進行網頁竄改的駭客很可能轉進到更為激烈,被利益驅動的活動。

 

請到這裡參考趨勢科技在這方面的研究。

 

@原文出處:Understanding Motivations and Methods of Web Defacement

2017年勒索病毒損失金額成長4倍  達50億美元;去年 10 月挖礦程式突破10萬關卡

趨勢科技2017年度資安總評報告 以獲利為主的駭客攻擊稱王

籲防範新型態網路犯罪 留意歐盟通用資料保護法(GDPR)詐騙

【2018年3月8日台北訊】全球網路資安解決方案領導廠商趨勢科技(東京證券交易所股票代碼:4704)今天發表2017年資安總評報告「2017 年資安總評:弔詭的網路威脅」,指出2017年勒索病毒、加密虛擬貨幣挖礦程式,以及變臉詐騙(BEC)數量持續攀升,成為網路犯罪集團的主要攻擊手法。其中勒索病毒造成全球企業損失金額較2016年狂增4倍達50 億美元,而台灣受勒索病毒的攻擊全球排名更上升兩名,在2017年遭攻擊千萬次以上[1]。此外,全球變臉詐騙(BEC)損失也較2016年累積金額多出23億美元,顯見網路犯罪集團已不斷精進其針對性攻擊手法,創造更高獲利。趨勢科技警告這股趨勢將延續至2018年,且伴隨歐盟新的資料保護法即將在5月上路,需要遵守這項法規的企業恐將成為不法人士進行數位詐騙的目標。

報告顯示加密虛擬貨幣挖礦惡意程式數量在2017年10月已突破10萬關卡。同時 IoT 裝置被利用來進行加密虛擬貨幣挖礦活動即達4,560萬次以上
報告顯示加密虛擬貨幣挖礦惡意程式數量在2017年10月已突破10萬關卡。被利用來進行加密虛擬貨幣挖礦活動即達4,560萬次以上 同時 IoT 裝置被利用來進行加密虛擬貨幣挖礦活動即達4,560萬次以上

趨勢科技在先前的2018年資安預測即指出,網路犯罪集團已開始逐漸拋棄使用漏洞攻擊套件亂槍打鳥的手法,轉而採用更有策略的針對性攻擊來提升投資報酬率。此份最新報告也再次提醒,駭客很可能開始鎖定一些需要遵守最新歐盟通用資料保護法(GDPR)的企業,先根據網路公開資訊計算出目標企業在發生資料外洩時可能面對的最高罰鍰,再入侵該企業並要求一筆低於該罰鍰的贖金,迫使目標企業只能乖乖付錢。

對此,趨勢科技全球威脅通訊總監Jon Clay表示:「2017年資安總評報告所揭露的威脅情勢就如同過去一樣詭譎多變,網路犯罪集團不斷開發提高其獲利的方法,不論是財物、資料或商譽,歹徒總是策略性地鎖定企業最有價值的資產發動攻擊。面對多樣化的威脅,企業需要一套跨世代的解決方案加上最新防禦技巧,才能協助企業有效降低風險。」 Continue reading “2017年勒索病毒損失金額成長4倍  達50億美元;去年 10 月挖礦程式突破10萬關卡”

企業資安:BEC 變臉詐騙最愛用”採購訂單”當網路釣魚檔名

變臉詐騙攻擊或稱為商務電子郵件入侵(Business Email Compromise,簡稱 BEC) (Business Email Compromise,亦稱「商務電子郵件入侵」,簡稱 BEC) 這幾年來在全球瘋狂成長,專家預測這項威脅在  2018 年將達到 90 億美元的規模。由於變臉詐騙手法簡單有效,因此未來肯定將持續成為歹徒最青睞的攻擊之一,尤其是那些缺乏專業工具、知識和技術而無法從事其他複雜攻擊的不肖之徒。

企業資安:BEC 變臉詐騙最愛用”採購訂單”當網路釣魚檔名

去年我們趨勢科技花了九個月的時間 (2017 年 1 月至 9 月) 仔細研究了各種變臉詐騙案例,希望能從中發掘一些發展趨勢以及歹徒使用的工具和技巧,進而描繪出今日變臉詐騙的整體樣貌。

變臉詐騙兩大技巧

網際網路犯罪申訴中心 (Internet Crime Complaint Center,簡稱 IC3) 將變臉詐騙分成五大類型。不過,我們在追蹤研究的期間發現,變臉詐騙可根據其攻擊技巧只分成兩大類:

  1. 竊取帳號登入憑證:這類技巧通常使用鍵盤側錄程式和網路釣魚套件來竊取目標企業網頁郵件 (webmail) 的帳號密碼。
  2. 單純利用電子郵件:這項技巧基本上是發送一封電子郵件給目標企業財務部門的員工,其對象通常是企業的財務長 (CFO)。這封電子郵件會假冒企業的高階主管,並要求員工匯一筆款項給某供應商或外包商,或是幫其個人暫時代墊某筆款項。

竊取帳號登入憑證的技巧還可細分為兩種:第一種使用的是惡意程式,另一種使用的是網路釣魚。

 

變臉詐騙最喜歡的檔名:採購訂單

在仔細觀察惡意附件檔案的樣本之後,我們發現歹徒使用的附件檔名有一定的規律,以下就是最常用的幾種檔名類型:

惡意程式附件檔最常使用的幾種檔名類型

惡意程式附件檔最常使用的幾種檔名類型
(根據 VirusTotal 的樣本)。

 

在使用惡意程式的變臉詐騙方面,最活躍的惡意程式有兩個:第一個是叫做「Ardamax」的軟體,售價 50 美元,提供了變臉詐騙所需的基本功能,另一個叫做「LokiBot」,是變臉詐騙集團越來越常用的惡意程式家族。
反觀單純採用電子郵件的變臉詐騙則主要仰賴社交工程技巧。雖然社交工程技巧原本就是大多數變臉詐騙的重要元素之一,但純粹使用電子郵件的變臉詐騙,其社交工程技巧要高明許多,很能掌握人類的心理。簡單來說,這類攻擊會讓電子郵件看其來相當具說服力,並且會巧妙運用電子郵件的「主旨」、「回覆地址」及「寄件人」等欄位。

 

刻意註冊看似受害機構高階主管個人的電子郵件,或註冊模仿被害企業的網域。

除了前述手法之外,變臉詐騙集團還會註冊一些看似受害機構高階主管個人的電子郵件地址。他們會到一些狡猾的免費網頁郵件服務開立信箱,或者註冊一個模仿被害企業的網域。

變臉詐騙電子郵件所用技巧的分布情況大致如下:
電子郵件變臉詐騙所使用的技巧 (回覆地址、狡猾的網頁郵件、模仿被害企業的網域)。電子郵件變臉詐騙所使用的技巧 (回覆地址、狡猾的網頁郵件、模仿被害企業的網域)。

此外,我們也研究了一下歹徒如何取得他們的犯案工具,尤其是攻擊中所使用的網路釣魚網站。變臉詐騙集團最常用使用網路釣魚套件來發動攻擊。我們從研究案例當中找到了一名變臉詐騙歹徒,並且找出他所使用的工具以及取得管道。

趨勢科技在好幾個網路釣魚網站發現這名歹徒的蹤跡,因此推論變臉詐騙嫌犯應該都會架設多個網路釣魚網站來從事詐騙。他們大多活躍於地下犯罪市場,並且從中取得他們所需的詐騙工具。而且,地下市場甚至還有一些專門給變臉詐騙新手的教學資源,協助他們快速上手。換句話說,變臉詐騙歹徒可以很輕易地獲得它們所需的工具和技巧。這份研究主要是希望能讓大家對變臉詐騙有一番更清楚的認識,包括:最新發展趨勢、歹徒的工具和技巧,以及一般消費者和企業該如何防範這類攻擊。

➔ 完整報告:變臉詐騙 (BEC) 技巧發展趨勢追蹤

 

原文出處:Delving into the World of Business Email Compromise (BEC)