這些員工沒看穿的騙局,造成的損失竟比病毒還大!

近兩成的企業資料外洩事件,來自內部人為疏失,而非病毒!

員工被認為是公司最大的資產,卻也是資安最脆弱的一環。雖然企業經常遭受駭客蓄意的破壞或惡意入侵,但也有許多資安事件是因為疏忽大意或缺乏安全意識所造成。在今年初,一家投資管理軟體廠商因為變臉詐騙攻擊或稱為商務電子郵件入侵(Business Email Compromise,簡稱 BEC)造成600萬美元損失而被告。

罪魁禍首?沒有遵循正確匯款流程的員工。在這種情況下,如果企業具備適當的安全措施,而且員工能夠確實遵守程序或具備看穿騙局的知識,就能夠成為防禦的關鍵。

19.8%的資料外洩事件來自內部系統 – 因為簡單的人為錯誤造成

2014年的一份問卷調查顯示有19.8%的資料外洩事件來自內部系統 – 因為簡單的人為錯誤造成。各式各樣可以有效利用員工的詐騙手法讓網路犯罪分子偏好社交工程(social engineering ),而不去用更加複雜的方法。

實際的詐騙手法可能有所不同,但底下列出最常用的技術 – 出現在許多電視和電影場景裡,可以幫助使用者更加了解自己他們所面臨的社交工程威脅:

 

假托技術(Pretexting

冒充老闆

 How'd he get in?

他如何進入?

竊資達人(Identity Thief):Sandy冒充前老闆說服員工給禁區密碼。

你有沒有非預期地接到來自“技術支援”人員的電話,內容是關於需要立即處理的問題?也許來電者會要求提供個人資料或帳號資訊來立即處理問題。這種社交工程的手法被稱為假托技術(Pretexting)。 Continue reading “這些員工沒看穿的騙局,造成的損失竟比病毒還大!”

變臉詐騙 (BEC) :執行檔易被起疑心, 改用 HTML 附件讓你上鉤!

 

目前,鍵盤側錄程式仍是變臉詐騙最常用來竊取受害者帳號密碼的工具,且效果良好。但是,想要利用電子郵件來散布執行檔,在今日已經不太容易,因為垃圾郵件過濾軟體通常很快就會發現這類危險郵件並加以標註。反觀 HTML 檔案沒有立即的危險性,除非該檔案被判定為網路釣魚頁面,否則並不會被標註。

 

傳統上,變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC)都是利用鍵盤側錄程式來從受害電腦竊取使用者的帳號密碼。但是,使用附件方式來夾帶執行檔,通常會讓使用者起疑而不會點選附件檔案,因為執行檔有很高的機率是惡意程式。因此,趨勢科技最近發現一波改用 HTML 網頁為附件的網路釣魚(Phishing)郵件出現。

 

圖 1:夾帶 HTML 附件檔案的網路釣魚郵件。

一旦開啟該 HTML 附件檔案,就會啟動瀏覽器並顯示如下內容:

圖 2:HTML 網路釣魚頁面。 Continue reading “變臉詐騙 (BEC) :執行檔易被起疑心, 改用 HTML 附件讓你上鉤!”

企業資安: 一次搞懂 BPC、BEC及 Targeted attack

商業流程入侵(BPC)、商務電子郵件入侵(BEC)及目標式攻擊:有什麼差異?

2015 年,在攻擊者取得 SWIFT 金融網路的資金交易代碼之後,一家厄瓜多銀行損失 1,200 萬美元。隔年,另有一起牽涉 SWIFT 的網路洗劫案例,造成孟加拉中央銀行損失 8,100 萬美元。同樣在 2016 年,一家越南銀行成功防止一起類似的攻擊事件,阻止攻擊者移轉 113 萬美元到攻擊者帳戶中。

我們將這一系列新的攻擊分類為商業流程入侵 (BPC),主謀偷偷修改關鍵流程及系統,以進行看似正常卻未經授權的操作。那麼 BPC 是如何運作?BPC 的獨特之處在哪,與商務電子郵件入侵或稱為變臉詐騙 (BEC) 或目標式攻擊有何相似之處?企業又要如何找出 BPC?

BEC變臉詐騙的五種類型

BPC 及 BEC 擁有同樣的最終目標 (即經濟利益),但兩者僅有這點相似。

BEC 是極度仰賴社交工程(social engineering )策略的詐欺手段,誘騙受害者移轉資金到詐欺犯名下帳戶。在 BEC 中,攻擊者通常假扮成與金融或電匯付款業務相關的執行長或任何高階主管。根據 FBI 指出,BEC 有下列五種類型:

  1. 偽造發票收據
  2. 執行長詐欺
  3. 帳戶入侵
  4. 偽裝律師
  5. 資料竊取

[請參閱:商務電子郵件入侵(變臉詐騙)是如何運作?]

BPC的三種類型

另一方面,BPC 則是更為複雜的攻擊,其中牽涉修改程序,產生與原先預期的不同結果。這往往能讓攻擊者獲得極高的經濟利益。根據趨勢科技所觀察到的案例,BPC 有下列三種類型:

  • 聲東擊西
  • 冒用身分
  • 五鬼搬運

 

[請參閱:商業流程入侵(BPC)的種類及個別案例]

鎖定目標攻擊及 BPC: 都能無限期留在網路中,而不被偵測到

針對性攻擊/鎖定目標攻擊(Targeted attack )及 BPC 間僅有一線之隔,兩者皆使用相同工具、技術及元件,且能在不受偵測的狀況下,滲透並留存於目標網路當中。兩者都能無限期留在網路中,而不被偵測到。然而,鎖定目標式攻擊的主要目的是滲透到公司中最重要的資產 (商業機密、智慧財產等),以進行商業間諜或破壞行為。另一方面,BPC 的詐欺犯主要是為取得不法利益。BPC 可能也會使用與鎖定目標式攻擊相同的手法,如情報收集、橫向移動,到維護和資料滲透等。

圖 1BPC、BEC 及目標式攻擊之間的差異與相似之處
圖 1BPC、BEC 及鎖定目標式攻擊之間的差異與相似之處

Continue reading “企業資安: 一次搞懂 BPC、BEC及 Targeted attack”

古典以太坊錢包(Ethereum Classic Wallet)成為社交工程受害者,保護數位貨幣和企業系統的 8 個建議

強烈建議使用者不要使用Classic Ether Wallet的服務,因為駭客在6月29日成功地控制了這個網站。這個電子錢包系統管理的是Ethereum Classic數位貨幣(古典以太坊,ETC),在本文撰寫時對美元為1:18.15。來自Reddit等論壇的報導顯示有許多受害者因為此駭客事件而損失了數千美元。請注意,古典以太坊與 Ethereum(以太坊,ETH)是不同的,這是因為一次駭客事件讓以太坊社群分裂所造成

駭客冒充Classic Ether Wallet網站所有者連絡網域註冊商,進而劫持了該網站

根據 Ethereum Classic的開發者,駭客冒充為Classic Ether Wallet網站所有者來連絡網域註冊商,進而劫持了該網站(偽裝成高階主管或上級主管是常見的社交工程詐騙手法,常被用來取得寶貴資料)。經由此作法,駭客將網域重新導向自己的伺服器。並且在網站中插入程式碼來將使用者輸入的私鑰複製下來,讓駭客得以從受害者帳戶中取得資金。

Ethereum Classic團隊的回應方式是透過Twitter快速通知使用者這起駭客事件,並將該網站列入黑名單。使用者一開始會看到封鎖訊息及網路釣魚警告,不過該網站現在已經被關閉。

社交工程和其他數位貨幣相關威脅

根據報導,數位貨幣使用者已經受到社交工程詐騙的嚴重影響。詐騙者通常會偽裝成受害者,讓服務商提供存取權限給連結多個帳戶的電話或設備。一旦取得權限,詐騙者會鎖定受害者,從可存取的帳戶中拿走一切。這對數位貨幣持有人來說是個大災難,因為交易在本質上是不可逆轉的。

除了社交工程外,還有其他更加複雜的威脅,尤其是現在數位貨幣變得越來越主流。攻擊者並不將目標限制在錢包或個人身上,而是用惡意軟體來感染系統和設備以進行數位貨幣採礦。

早在2011年,我們就偵測到與比特幣採礦相關駭客工具和後門程式的增加。現在惡意威脅變得更加先進,有漏洞的物聯網(IoT ,Internet of Thing)設備成為首要目標。從數位錄影機到路由器和連網監控攝影機,惡意軟體試圖感染更多設備好形成大規模的比特幣採礦廠。在2016年,我們偵測到一堆Windows設備、家用路由器和網路攝影像機淪為比特幣礦工。如果這些惡意軟體感染了企業系統,可能會影響生產力和運作能力,進而嚴重地影響業務。

保護數位貨幣和企業系統的 8 個建議

想要保護好數位貨幣和企業系統,需要小心警慎和積極作為: Continue reading “古典以太坊錢包(Ethereum Classic Wallet)成為社交工程受害者,保護數位貨幣和企業系統的 8 個建議”

企業如何在報稅季,避免 BEC 變臉詐騙?

隨著企業和員工準備繳稅申報,網路犯罪分子也同樣地加緊努力來竊取所需資訊,一年比一年更加精明。

報稅期間 BEC 變臉詐騙恐出現另一波高峰

變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC)詐騙事件自2016年以來就不斷地爬升,報稅期間也讓這類事件出現另一波高峰,讓美國國稅局(IRS)對企業們發出這些高危險性攻擊的警告。

BEC詐騙的手法很簡單,都圍繞在一件事上 – 入侵商業電子郵件帳戶好進行網路釣魚詐騙,將未經授權的資金轉到世界各地的人頭帳戶。不過,執行這種特殊騙局的網路犯罪分子在攻擊目標前必須先進行大量的研究。需要對目標公司、員工運作情況及員工人際關係有深刻的了解後才能有效地達到預期的效果。

對於針對退稅的 BEC 詐騙,詐騙分子偽裝成執行長,向財務或人力資源部門索取員工薪資單等資料。一旦成功,這些資料就會被攻擊者用來從預設目標那竊取退稅。

延伸閱讀:趨勢科技最近發表了一份西非網路犯罪分子大量利用這類威脅的報告

Continue reading “企業如何在報稅季,避免 BEC 變臉詐騙?”

企業如何防範BEC(變臉詐騙),BPC(商業流程入侵)和勒索病毒等詐騙?

某家跨國性整合技術製造商的會計主任,收到一封據稱來自執行長的電子郵件,信中指派了一項緊急的匯款工作。為了增加真實性,歹徒再假扮成律師打電話並寫信給這位會計主任。整個過程才幾個鐘頭的時間,歹徒撈到 48 萬美元。

同樣都是直接駭入電腦系統,商業流程入侵(BPC) 非藉由人員的疏失或入侵電子郵件帳號。歹徒會駭入企業的業務流程系統,藉由新增、修改或刪除資料來將款項轉到他們戶頭,或將商品轉到指定地點。一般來說,一樁 BPC 攻擊從背景調查、攻擊策畫到真正駭入企業系統並取得款項或商品,大約需要 5 個月的時間。

過去十年,資安威脅情勢已大幅演變,從 2001 年的蠕蟲開始,到 2005 年的「Botnet傀儡殭屍網路」和間諜程式,而現在則是針對性攻擊/鎖定目標攻擊(Targeted attack )、行動威脅與勒索病毒 Ransomware (勒索軟體/綁架病毒)當道的年代。威脅的破壞力不斷上升,而且動輒癱瘓企業。

為了因應日益成長的威脅,資安產業也開發出各種推陳出新的解決方法,例如:新一代防護、入侵偵測、雲端防護等等,這些都是解決今日資安問題的必要元素。然而若是考慮到企業整體,那毫無疑問地需要一套面面俱到、環環相扣的多層式防禦。除了氾濫成災的勒索病毒之外,還有兩種類型的攻擊將使得多層式防禦在 2017 年更加重要,那就是:變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC)與商業流程入侵 (BPC)。

變臉詐騙 (BEC):專門針對那些經常需要匯款給外部供應商的企業機構

變臉詐騙早已不是什麼新鮮手法,趨勢科技和美國聯邦調查局 (FBI) 多年來一直不斷發表研究報告與警告來提醒大家注意這類攻擊。這是一種精密的詐騙手法,專門針對那些經常需要匯款給外部供應商的企業機構。事實上,我們在 2016 年資訊安全總評報告當中指出,這類攻擊已遍及全球 92 個國家,而且由於投資報酬率驚人,因此預料 2017 年還會繼續成長。

讓我們來看一下 2014 年發生在 AFGlobal 這家跨國性整合技術製造商的案例,就能了解這類詐騙是如何得逞。首先,該公司的會計主任收到一封據稱來自執行長的電子郵件,信中指派了一項緊急的匯款工作。為了增加真實性,歹徒再假扮成律師打電話並寫信給這位會計主任來說明這筆匯款,並希望款項能盡快匯出。在款項匯出之後,對方沉寂了幾天,緊接著又要求另一筆 1,800 萬美元的匯款。但由於金額過於龐大,讓會計主任起了疑心,這樁詐騙才因而現形。雖然後面這筆 1,800 萬美元的金額歹徒並未得逞,但歹徒在前一次匯款時已撈到 48 萬美元,而且整個過程才幾個鐘頭的時間。

這就是變臉詐騙可怕之處,才不過短短的時間就能造成高額的損失。

⊙延伸閱讀:

緊急通知」或「付款到期」開頭的信件,駭人獲利竟逾 30 億美元
◢   防 BEC 變臉詐騙小秘訣

商業流程入侵 (BPC):從內部流程直接將匯款轉向,準備期約 5 個月

然而若和商業流程入侵 (BPC) 詐騙相比,變臉詐騙的損失金額和影響力只不過是小巫見大巫。其中最知名的案例就是 2016 年初孟加拉銀行遭到網路洗劫的事件。除了洗劫銀行之外,歹徒的其他做案手法還有:駭入訂單系統篡改款項支付對象、入侵支付系統授權轉帳至歹徒戶頭、駭入出貨系統竄改高價商品的運送地址。 Continue reading “企業如何防範BEC(變臉詐騙),BPC(商業流程入侵)和勒索病毒等詐騙?”

還在依賴電子郵件傳機密檔案? 小心成全球變臉駭客狙擊目標!製造、食品、零售業需高度警戒

【台北訊】在網路傳輸便利的商業環境,Email已成企業溝通的首選途徑。根據Ragan Communications 所做的調查,有七成的企業員工以Email來傳遞機密類的重要文件[1],然此作業慣例卻也衍生出以電子郵件為攻擊途徑的變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC)攻擊手法。根據全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 與國際刑警組織(INTERPOL)共同發布的調查顯示[2],全球變臉詐騙駭客最常鎖定的產業目標,即為十分倚賴電子郵件進行交易溝通的製造產業,其次為食品產業以及零售產業。

對於此種造成企業嚴重財損的駭客手段,趨勢科技亞太區前瞻資安威脅研究團隊資深經理Ryan Flores 表示:「變臉詐騙攻擊猶如勒索病毒一樣,已逐步入侵全球各個產業,舉凡製造、服務、醫療、教育、金融業等至今皆有傳出受害案例,企業收信時應特別留意寫有「緊急通知」或「付款到期」等字詞的信件主旨。」根據統計近兩年全球變臉詐騙的累計金額為 900億台幣[3],平均每起案件金額便高達 400多萬台幣。日前,由趨勢科技協助刑事警察局及時阻止的跨國變臉詐騙案件亦涉及300多萬台幣的詐騙金額。面對企業不可不防的變臉詐騙威脅,趨勢科技深度剖析駭客慣用的兩大手法如下:

手法一:社交工程陷阱利用人性通病榨取企業金錢

  1. 資料偽造騙局:駭客篡改廠商的郵件或文件內容,要求該廠商的客戶或合作夥伴匯款至指定的詐騙用帳戶,或者駭客也可能入侵員工的電子郵件帳號,以其身分要求該公司的客戶或合作夥伴匯款至指定的詐騙用帳戶。日前發生的台灣某製造廠商的變臉詐騙案即是此手法。
  2. 高階主管騙局:駭客偽裝成公司高階主管(CFO、CEO、CTO等)、律師或其他類型法定代表,欺騙公司員工匯款。根據趨勢科技的 BEC 詐騙電子郵件監控資

Continue reading “還在依賴電子郵件傳機密檔案? 小心成全球變臉駭客狙擊目標!製造、食品、零售業需高度警戒”

中小企業預防勒索病毒及BEC 變臉詐騙的六個資安祕訣

趨勢科技預測 2017 年勒索病毒家族的數量將成長 25%,而且針對企業的攻擊數量將會增加。除此之外,變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC),一年的不法獲利高達 30 億美元左右,猶如勒索病毒一樣,這類威脅在 2017 年當中只會更加精密且越來越多。

2016 年的威脅情勢屢創新高:新的勒索病毒 Ransomware (勒索軟體/綁架病毒)家族、全球肆虐的變臉詐騙以及各種熱門平台的軟體漏洞。其中,勒索病毒家族數量去年飆升7倍,趨勢科技統計,受勒索病毒攻擊次數全球排行榜中,台灣排名第18名,仍屬於資安高風險國家,亞洲中更是僅次於印度、越南、印尼、日本、菲律賓、泰國等國,亞洲排第7。全球企業損失300億元(詳情請看)

以下我們特別整理了六項防範措施來協助中小企業避免淪為下一個受害者:

1.建置多層式防護:中小企業的資安主力大多集中在端點防護,但卻忽略了其他潛在的威脅管道。保護所有存取企業資料和網路的裝置 (包括行動裝置) 其實非常重要。從最近 WhatsApp 和 Super Mario Run 所發生的漏洞攻擊可以看出,行動裝置已經成為駭客越來越愛的攻擊目標。

延伸閱讀:超過9,000個搭任天堂Mario(瑪莉歐)順風車的手機應用程式,約有三分之二都帶有惡意行為

 

2.保護郵件伺服器: 根據趨勢科技 2016 上半年資訊安全總評指出,71% 的勒索病毒都來自電子郵件,而這也是變臉詐騙最普遍的攻擊管道。因此,除了強化電子郵件防護之外,您還必須小心提防那些要求匯款的電子郵件,即使是來自正常的來源。 Continue reading “中小企業預防勒索病毒及BEC 變臉詐騙的六個資安祕訣”

台灣遭勒索病毒攻擊次數,全球排名第18名 亞洲第7 ;平均每起變臉詐騙,企業損失逾 430 萬台幣 — 四個刷新紀錄的企業威脅


2016 年的威脅情勢屢創新高:新的勒索病毒 Ransomware (勒索軟體/綁架病毒)家族、全球肆虐的變臉詐騙以及各種熱門平台的軟體漏洞。其中,勒索病毒家族數量去年飆升7倍,趨勢科技統計,受勒索病毒攻擊次數全球排行榜中,台灣排名第18名,仍屬於資安高風險國家,亞洲中更是僅次於印度、越南、印尼、日本、菲律賓、泰國等國,亞洲排第7。全球企業損失300億元

勒索病毒造成全球企業損失金額高達10億美元,相當於新台幣300億元

趨勢科技日前發布年度資訊安全總評報告「2016 年資訊安全總評:企業威脅刷新紀錄的一年」,報告顯示2016 年網路威脅屢創新高,勒索病毒 Ransomware (勒索軟體/綁架病毒)和變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC)越來越受網路犯罪集團青睞。

其中,勒索病毒造成全球企業損失金額高達 10 億美元(相當於新台幣300億元),且勒索病毒新家族數量較2015年相比成長 7 倍,顯現駭客攻擊對企業的影響幅度有加劇之趨勢。

企業資安威脅在 2016 年寫下新的紀錄,網路勒索成了一大問題。新的勒索病毒家族數量出現前所未有的爆炸性成長,而變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC) 也讓企業蒙受了巨大的損失。該年發現的軟體漏洞總數,也突破去年的紀錄,甚至出現了工業用監控與資料擷取 (SCADA) 系統的漏洞。若 2016 年能帶給我們什麼啟示的話,那就是企業應徹底強化自己的資安防護。

以下為四個刷新紀錄的企業威脅:

 

  1. 新的勒索病毒家族數量成長 752%
  2. 平均每起變臉詐騙,企業損失約 14 萬美金(434 萬台幣)
  3. 企業軟體與 SCADA 軟體的漏洞數量名列前茅
  4. Mirai 殭屍網路大約掌控了全球 10 萬個物聯網 IoT ,Internet of Thing) 裝置

 

 

新的勒索病毒家族數量成長 752%

 

勒索病毒攻擊比以往更加難纏,新的勒索病毒家族數量在 2016 年成長了 752%,垃圾郵件是最主要的感染途徑。

每月新增的勒索病毒家族數量

Continue reading “台灣遭勒索病毒攻擊次數,全球排名第18名 亞洲第7 ;平均每起變臉詐騙,企業損失逾 430 萬台幣 — 四個刷新紀錄的企業威脅”

< BEC 變臉詐騙 > 男大生認罪, 利用 Limitless鍵盤側錄程式危駭數千企業! 趨勢科技FTR 團隊協助逮捕

曾有歹徒利用 Predator Pain 和 Limitless 這兩個鍵盤側錄程式,來從事變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC) ,獲利高達約22億新台幣!其中Limitless作者在1月13日,一名大學生Zachary Shames向美國維吉尼亞州聯邦地方法院認罪,這個惡意鍵盤側錄程式被用來竊取數千份使用者敏感資訊(如密碼和銀行憑證)。在 2014年11月,趨勢科技的前瞻性威脅研究團隊(FTR)發表一份包含Limitless的研究報告,同時介紹它被如何用來竊取數千名受害者的資料。在此之前,我們將如何確認Shames為作者的詳細資料交給了美國聯邦調查局(FBI)。本文將詳細介紹我們如何建立連結,這是我們在已發表的報告中所沒有提及的。

根據東維吉尼亞的檢察官辦公室,維吉尼亞州詹姆斯麥迪遜大學的21歲資訊系學生被控協助和教唆電腦入侵。Shames承認開發和銷售超過3,000份的間諜軟體,用來感染超過16,000台電腦,這些行為違反了美國法典第18章第1030(a)(5)(A)和2條。

在2014年7月,FTR 團隊成員開始研究兩種商業化鍵盤側錄程式所進行的攻擊(Predator Pain 和Limitless Logger),這兩者都被用在多起入侵事件,其中不乏知名的受害者。

在研究過程,Limitless和其他工具一起被廣泛地用在針對性攻擊/鎖定目標攻擊(Targeted attack )活動。受害最深的國家是馬來西亞、印度、澳洲、丹麥和土耳其。

圖1、受 Predator Pain/Limitless影響的國家

Continue reading “< BEC 變臉詐騙 > 男大生認罪, 利用 Limitless鍵盤側錄程式危駭數千企業! 趨勢科技FTR 團隊協助逮捕”