企業資安 - 資安趨勢部落格

《資安漫畫》還用公司 email 註冊社群網站？上班族四個使用社群網路 NG行為

2016 年 12 月 12 日2016 年 12 月 13 日趨勢科技 TrendMicro

在臉書或推特這類的社群網路上發文時, 你會不經意談到與公司或工作有關的內容嗎？雖然使用社群網路有種好像跟朋友正在面對面坐著聊天的感覺，而且也相當容易就會聊到日常生活的瑣事或私密內容。但一個不小心，PO 文可能會洩漏了公司或客戶的資料，對發文者和公司都不是件值得按讚的事。下面就是幾個NG的例子。

NG1：使用公司的電子郵件帳號註冊社群網站

使用在 Facebook 帳號的電子郵件，在網路犯罪地下市場販售的個資中，黑市價碼較高，因為攻擊者可使用許多策略來攻破信任的圈子進入攻擊目標的社交圈名單。因為攻擊者可使用許多策略來攻破信任的圈子進入攻擊目標的社交圈名單。將一個不認識或裝熟的人加入你的社群網站小團體中，等於就是將朋友們的資料向不能受信任的第三者公開，即使對方是名人也是一樣。許多人使用公司電子郵件地址註冊 LinkedIn, Facebook 和 Adobe 等網站，小心被竊的憑證可能讓攻擊者進入公司內部網路。

NG2：將工作上的情報資訊公開

將公司或客戶開發中商品、規格、價錢、開賣日提前曝光，有可能不慎讓競爭對手得到資訊，恐怕會影響到公司或客戶的利益。發文前檢查三遍，任何與公司業務相關的機密資料，不要PO 上網路。以免像當年的微軟員工一樣，在LinkedIn 個人資料檔說了不能說的秘密。或是像十三名維珍航空公司艙員因為在臉書上公開討論工作上的事情而被解僱，他們分享飛機引擎更換的時間，還有某些機艙內有蟑螂出沒。他們還連帶侮辱了乘客-那些支付他們薪水的衣食父母。
網路上有一個知名的故事：一位 Cisco 的準員工面試了一份顯然不太情願的工作。這位年輕人在 Twitter 上抱怨自己「必須為了這份豐厚的報酬而每天通勤到 San Jose 上班，而且恨透了這份工作。」不幸的是，一位 Cisco 的員工看到了這則訊息，然後將這則訊息傳遍了整個公司和網際網路，因而引起宣然大波。

NG3：在社群網路上批評往來客戶或競爭對手

萬一你的社群網站隱私設定百密一疏，你自認為天衣無縫的抱怨文，不小心被客戶看到了，你個人單方面所發表的意見，客戶可能會曲解公司的立場。不單會傷害到公司好不容易與客戶間建立的良好關係，更有可能會因此失去這個客戶。
客戶看到你的 Facebook 貼文的原因，可能是:

Facebook 隱私設定不周全
忘了曾經加客戶為朋友
你和客戶有共同的朋友,其中有人對你的留言按讚叫好

NG4：未經允許擅自公開與客戶開會內容或照片

不管你有沒有 “偶像包袱”，大多數的人都不喜歡突然看到自己的照片被公開在社群網路上，更何況也有可能會被看到工作場合上不適合公開的事實。前陣子阿帕契風波成為新聞焦點，其實早在 2012 年英國也有相關網路事件，當時威廉王子在英國皇家空軍基地擔任救難直升機駕駛，為展現親民作風，也常常將他的軍旅照片刊登在網站上。其中有張照片是威廉王子與他的救難小隊組員，在看來像是指揮中心辦公室的地方氣氛和樂地聊天，這張照片發佈沒隔到一天，就被網友發現了問題。原來會把登入密碼也大方的貼在牆壁上的不只是尋常百姓！隨後，皇家空軍也發表官方聲明表示，已經全面更換了共同登入的使用者名稱以及密碼，也強制要求基地中的幕僚人員全面重設自己的使用者名稱以及密碼，以確保基地的資訊安全。

*小提醒:公眾場合上無法正正當當公開的事，在社群網路上就不要輕易的公開出來。
為了防止自己被朋友發布的相片或貼文所標示，且該發文無預期的在自己的臉書上被公開，請將自己臉書帳號內的＂標籤審查＂功能開啟．

在主畫面右上角點選「▼」，選擇「設定」
請點選左側「動態時報與標籤」
請點選「在朋友將你標註在內的貼文，顯示在你的動態時報之前，先加以審查」右側的「編輯」，從選單中選擇「啟用」功能
當有人標記你時，在審查頁面就會出現該內容，你可自行決定是否加到自己的動態時報上與否

當年英國威廉王子這張照片發佈不到一天，就被迫全面下架，不過內容早就被有心人備份了….你看到問題了嗎?

Posted by 趨勢科技 Trend Micro

7個使用社群網站安全提醒

發出訊息前先檢查三遍，務必確認沒有任何後顧之憂後再按下發送鍵。
如果發佈的這個訊息只能用悄悄話或私密訊息發送，那就不要張貼。發出訊息前，要有無法確實刪除的心理準備。
千萬別公開個人或公司內部其他同仁的個人資訊 (電子郵件地址、電話號碼、住址等等)。
設立複雜而不易破解的安全強度高的密碼。
若使用不同的社交網路不可使用一模一樣的密碼。
任何與公司業務相關的機密資料，不要PO 上網路。
不要在社交網路提到公司組織成員、內部進行中的專案等等，可能導致企業資料外洩的訊息。

【延伸閱讀】
什麼是 Facebook Fired？下班後，不能在臉書說的話(多則先烈案例)
他在社群網路的推文，為何讓他登機遭拒？
六個常在 Facebook上犯下的錯誤與案例(詳盡案例說明)
“裸胸照的讚不是我按的！”從一張影響選情的 Facebook 照片談社群隱私
找上你的是獵人頭公司，還是….如何看穿商務社群網站上的詐騙？
愛發文打卡者請注意！一天8篇發文，就能推測出你住家和辦公室位置

趨勢科技助刑事警察局及時遏止300萬台幣落入駭客口袋,成功為企業把關駭客變臉詐騙威脅

2016 年 12 月 09 日2017 年 01 月 03 日趨勢科技 TrendMicro

【2016年12月9日，台北訊】全球資安軟體與解決方案領導廠商趨勢科技（東京證券交易所股票代碼：4704）在11月份偵測出台灣某製造廠商遭駭客攻擊的變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise，簡稱 BEC)件，成功與刑事警察局合作阻止了一場正在進行中的跨國詐騙案件，此詐騙金額高達 300 萬台幣 (9萬美金)，此案件亦再次證明資安意識為企業營運的基本要素，採用資安解決方案防範並防堵多形態的詐騙手法已為必要。

由於變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise，簡稱 BEC)所需成本及技術門檻較其他攻擊手法低，變臉詐騙已成為近年來駭客新寵兒。趨勢科技自 2015 年起與內政部警政署刑事警察局簽訂合作備忘錄，不定期提供資安情資協助遏阻網路犯罪案件。上週，趨勢科技與台北市刑事警察局合作，第一時間阻止一起正在進行中的典型變臉詐騙案件。趨勢科技團隊透過 IMSVA 郵件閘道防護SNAP(Social Engineering Attack Protection)的偵測功能，發現台灣某製造廠商與其俄羅斯客戶間的採購交易郵件，遭駭客竊取後竄改內容，以拋棄式郵件信箱提供假匯款帳號誘騙廠商付款；此外，駭客更竊取了含有該公司戳記的發票檔案進行加工，整筆交易金額將高達台幣300 萬元。本次趨勢科技與刑事警察局協力防堵變臉詐騙，屬國內少數以資安防護技術成功提前預防變臉詐騙的案例，藉此事件，更提醒了企業主對於資安攻擊的多變需多加留心並加以預防。

郵件變臉詐騙（BEC）主要為駭客竄改企業間往來的郵件內容，誤導企業轉帳至詐騙帳號，是近年來常見的駭客攻擊手法之一。電子郵件溝通已成為企業間的主要聯繫方式，舉凡交易訂單、收據及匯款帳號等均可能載於郵件中，然上述資料也成為駭客斂財的工具。駭客利用社交工程或鍵盤側錄郵件帳密等方式，竊取企業間往來的電子郵件，並假冒請款方寄信要求更改匯款帳號，若匯款方未向請款方再次求證，則成為變臉詐騙受害者。

趨勢科技呼籲，企業面對來勢洶洶的變臉詐騙威脅，「預防」才是關鍵之道。企業應加強電子郵件系統的安全性，避免郵件遭不法第三方擷取竄改；提升員工資安意識，勿點擊來路不明等可能為社交工程的郵件；交易雙方在匯款前，應再三確認交易帳號，增加交易的安全性。此外，也可以使用趨勢科技 IMSVA、HES 郵件閘道防護預防變臉詐騙的發生。IMSVA、HES郵件閘道防護提供了完整的多層式安全防護，結合了企業內的虛擬裝置與選購的雲端預先過濾，能在企業網路外部擋掉絕大多數的垃圾郵件和惡意程式，並透過雲端信譽評等資料庫與網路邊境執行掃瞄程序，確保企業遠離如變臉詐騙等類型的資安威脅。

企業成勒索病毒的金礦：Cerber是如何加密資料庫檔案?

2016 年 12 月 09 日2016 年 12 月 09 日趨勢科技 TrendMicro

或許是為了讓Cerber開發者及其同夥可以賺到最多的錢，這隻勒索病毒 Ransomware (勒索軟體/綁架病毒)增加了對企業造成更大威脅的動作：加密資料庫檔案。這些組織資料的儲藏庫讓企業儲存、檢索、排序、分析和管理資料。有效使用就能夠助於維持組織效率，所以拿這些關鍵資料作人質無疑可以影響公司業務，觸及了底線。

作為提供服務給網路犯罪新手的勒索病毒，Cerber經歷過無數次的改版。它會利用更多技巧，包括整合DDoS元件、使用雙重壓縮的Windows腳本檔案以及利用雲端生產力平台，甚至與資料竊取木馬聯手犯案。

Cerber開發者對下游抽取40%的佣金，光是今年7月就賺進近20萬美元。

勒索病毒的不斷更新反映出其開發者的活躍程度及下游如何將其當作是有利可圖的生意。比方說，前一個版本在一天內就更新到4.1.5。Cerber開發者對下游抽取40%的佣金，光是今年7月就賺進近20萬美元。

為了讓受害者即刻付贖,資料庫檔案成綁匪肉票

加密資料庫檔案並非Cerber獨有的行為。2016上半年所出現的家族像rypJOKER（RANSOM_CRYPJOKER.A）、SURPRISE（RANSOM_SURPRISE.A）、PowerWare（RANSOM_POWERWARE.A）和Emper（Ransom_EMPER.A）等都將資料庫相關副檔名加入加密列表。包括了dBASE（.dbf）、Microsoft Access（.accdb）、Ability Database（.mdb）和OpenOffice（.odb）等檔案。想想看資料庫檔案對於企業來說有多麼重要，開發者讓它們成為Cerber的加密檔案類型可以說是為了讓受害者更急切與願意付錢的手段。

自動避開俄羅斯等語系

Cerber 4.1.0、4.1.4和4.1.5就跟其它變種（Ransom_CERBER.CAD、Ransom_CERBER.A）一樣，設計成會避開某些語系的設備和系統。它使用API – GetKeyboardLayoutList來取得語言設定，勒索病毒偵測到下列語系就會終止自己：俄羅斯、烏克蘭、白俄羅斯、塔吉克語、亞美尼亞、阿澤里語、格魯吉亞語、哈薩克語、克里吉斯斯拉夫語、土庫曼語、烏茲別克語拉丁語、韃靼語、羅馬尼亞摩爾多瓦語、俄羅斯摩爾多瓦語、阿塞里斯拉夫語和烏茲別克斯拉夫語。趨勢科技從今年3月到11月中在美國、台灣、德國、日本、澳大利亞、中國、法國、義大利、加拿大和韓國所觀察到的大部分Cerber 樣本都能夠看到此一行為。

繼續閱讀

假冒執行長的《變臉詐騙》郵件,沒有惡意附件或網址,該如何預防?

2016 年 12 月 06 日2016 年 12 月 06 日趨勢科技 TrendMicro

與其他網路犯罪計劃不同，要防禦商務電子郵件入侵可能特別有困難度。攻擊者通常只對「寄件者」和「回覆」地址動手腳，並將主旨限制在幾個字，以避免引起懷疑並增加急迫性。換句話說，郵件本身不會在本文出現典型的惡意內容（惡意附件或網址）。這意味著傳統安全解決方案根本不會加以刪除。

收到這種信件的員工也要如何有效地阻止BEC詐騙?其實很簡單…

假冒執行長(CEO)詐騙郵件鎖定醫療機構

上個月一連串利用假冒執行長騙局的變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise，簡稱 BEC)攻擊了美國17家、英國10家和加拿大8家的醫療機構。這些機構包括了一般醫院、教學醫院，專業照護和私人診所。即便是製藥公司也不能免於BEC詐騙，因為英國一家和加拿大兩家的製藥公司也成為目標。

假冒執行長詐騙（CEO fraud）是BEC商務電子郵件詐騙的一種，透過假冒執行長或其他高階主管的電子郵件帳號來對管理公司匯款的負責人（財務長、財務總監或會計）發送詐欺性匯款請求。不知情的員工因為誤信這是個正常的請求而將資金轉帳到網路犯罪分子所控制的銀行帳戶（每次事件的平均金額是14萬美元）。
看起來像是來自執行長或高階主管的來信, 使用與目標醫療機構非常相似的網域名稱

趨勢科技發現針對醫療機構的攻擊活動主要使用兩種技術。

第一種是假造寄件者地址讓它看起來像是來自執行長或高階主管的電子郵件，而回覆地址則使用詐騙分子的電子郵件地址。
第二種技術是利用相似的網域名稱，詐騙分子使用跟目標醫療機構非常相似的網域名稱。這可以讓電子郵件地址只有一個字元的不同。詐騙分子接著製作簡單而無害的主旨，通常包含以下字詞：

非常緊急
付款到期
緊急付款

幾個國家保健署（NHS）的機構也被觀察到成為這些攻擊的目標，使用顯示成<醫院名稱>-nhs.co的模仿網域而非nhs.uk。偵察顯示這些假冒執行長詐騙背後的惡意分子可以輕易地利用公開來源資訊（OSINT）來針對這些機構 – 從公開的組織圖來收集公司內部職位。

攻擊者通常只對「寄件者」和「回覆」地址動手腳，郵件本身不會出現惡意附件或網址

與其他網路犯罪計劃不同，要防禦商務電子郵件入侵可能特別有困難度。根據針對醫療機構的電子郵件，攻擊者通常只對「寄件者」和「回覆」地址動手腳，並將主旨限制在幾個字，以避免引起懷疑並增加急迫性。換句話說，郵件本身不會在本文出現典型的惡意內容（惡意附件或網址）。這意味著傳統安全解決方案根本不會加以刪除。繼續閱讀

販賣網路遊戲金幣：它如何成為攻擊企業的途徑?

2016 年 11 月 25 日2017 年 08 月 24 日趨勢科技 TrendMicro

作者：Raimund Genes（趨勢科技技術長）

跟 DDoS攻擊網路遊戲產業有類似遭遇的公司可能多不勝數。不過因為遊戲產業有著十億美元的產值，而且是個不斷成長的競爭社群，自然會引起網路犯罪分子的注意。像是最近的一起電子詐騙案，一群駭客從熱門的FIFA系列中挖出價值1600萬美元的金幣，將其賣給歐洲和中國的買家。在趨勢科技的研究中發現，這類遊戲金幣的販賣最終用來資助與網路遊戲無關的網路犯罪行動。