你會檢視信箱內的轉寄設定嗎?提醒您,萬一駭客幫你設定了,往往當你發現時,信件幾乎都已遭長期轉寄,你的各種秘密都被第三者甚至競爭對手同步接收了。
根據趨勢科技觀察,善於利用信箱轉寄功能搜集企業情資的 BEC變臉詐騙集團,偏愛使用一些全球知名的免費電子郵件服務,方便駭客建立很多的帳號。其中 Gmail、Hotmail 及 Outlook 是變臉詐騙集團最愛的三大電子郵件服務。本文將分享 Gmail 自動轉寄功能發生過的個案。
◎趨勢科技 PC-cillin 雲端版可以防範網路釣魚攻擊,可以防範網路釣魚攻擊,避免帳密因為網路釣魚信被盜,進而暗中設定自動轉寄。》即刻免費下載立即掃描
密碼改到快記不住信件內容還是外洩這時你會怎麼做?
1.懷疑犯小人,暗中找出身邊間諜
2.懷疑中邪,桌上放乖乖鎮住衰神
3.檢查信箱是否被偷偷啟動自動轉寄
照慣例,趨勢科技Trend Micro Research 每年都會在回顧前一年的電子郵件威脅情勢時發布我們 Cloud App Security (CAS) 的統計資料。2022 年,我們幫客戶掃描了超過 790 億封以上的電子郵件 (較 2021 年增加 14%)。針對每一封郵件,CAS 都會檢查它是否為良性郵件或惡意郵件,其中有超過 3,900 萬封被歸類為高風險電子郵件,並已幫客戶攔截。讓我們來深入看看這些統計資料,以便了解駭客集團最近都在散發何種類型的惡意電子郵件。整體加起來,趨勢科技在 2022 年總共幫客戶攔截了 1,460 億次以上的威脅,其中電子郵件威脅就占了 55%,也就是說電子郵件依然是駭客在攻擊我們客戶時最主要的途徑。
作者: 趨勢科技威脅情報副總裁 Jon Clay
一項非常有趣的資料是駭客使用已知及未知惡意程式附件的比例。已知惡意程式很容易偵測,因此我們看到使用這類附件的比例減少了 32%。未知惡意程式則是最新開發的零時差惡意程式,所以比較難以偵測及防範。我們看到未知惡意程式附件的比例增加了 46%。所幸,我們已經具備了分析並辨識惡意檔案的技術,因此我們還是有辦法加以攔截。趨勢科技的 Cloud App Security 在 2022 年當中總共偵測並攔截了 4,263,650 個惡意程式檔案,比 2021 年的數字增加 29%。此外,未知惡意程式檔案的數量也飆升至 3,757,812 個,成長 46%。
本文分析了一起專門攻擊全球大型企業且利用開放原始碼工具來躲避偵測的變臉詐騙 (BEC) 攻擊行動。
是一項威脅全球企業的嚴重問題。根據美國聯邦調查局 (FBI) 統計,變臉詐騙對受害者所造成的損失更甚於勒索病毒(勒索軟體,Ransomware),光 2021 年就在美國造成 24 億美元的損失。根據 FBI 報告,美國人民因勒索病毒、變臉詐騙及金融詐騙所損失的金額高達 69 億美元,其中變臉詐騙就占了一大部分。近期,變臉詐騙集團一直不斷利用合法 SMTP 郵件服務 (如 SendGrid ) 的失竊帳號來散發精心設計的郵件,藉此躲避郵件服務供應商與資安服務的電子郵件過濾功能。透過這些正牌服務,詐騙集團的電子郵件看起來似乎也就變得合法 (儘管是偷來的帳號)。透過這樣的手法,再配合一些網路犯罪工具與開放原始碼工具,就能讓詐騙集團大幅提高變臉詐騙攻擊的成效與成功率。
2022 年 9 月,趨勢科技研究員發現了一波疑似新的變臉詐騙攻擊正在攻擊全球各地的大型企業,我們認為這波行動最早可追溯至 2022 年 4 月。由於歹徒會仔細挑選其下手目標,並且使用開放原始碼工具,因此這波行動持續了好一段時間而沒被發現。
這波攻擊在電子郵件中夾帶了一個 HTML 檔案,內含經過加密編碼的 JavaScript 腳本。經過我們分析之後研判這應該是一起針對性攻擊,因為其 JavaScript (JS) 及來自伺服器端的 PHP 程式碼當中都啟用了某些功能。
就如同其他典型的變臉詐騙一樣,這波攻擊的第一階段也是利用針對某特定目標使用者的魚叉式網路釣魚 (Spear Phishing )攻擊。歹徒使用了一個惡意的 JavaScript 附件 (趨勢科技命名為「Trojan.JS.DYBBUK.SMG」),它會將使用者導向一個假冒的 Microsoft 網路釣魚網頁。圖 1 顯示這波攻擊使用的惡意郵件。
繼續閱讀變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise, BEC) 是否比勒索病毒(勒索軟體,Ransomware) 更具破壞力?變臉詐騙集團有哪些手法?企業如何強化防禦能力?趨勢科技威脅情報副總裁 Jon Clay 在本文中為您解說這些問題,協助您降低資安風險。
重點預覽:
2021 年 BEC變臉詐騙造成的損失高達 24 億美元,勒索病毒只有 4,920 萬美元BEC 變臉詐騙比勒索病毒黑心錢賺更兇的四個原因變臉詐騙使用的電子郵件服務的五種類型變臉詐騙防禦策略有關變臉詐騙的相關數據以及管理資安風險的更多資訊
變臉詐騙 (BEC) 亦稱電子郵件帳號入侵 (EAC),是一種電子郵件網路犯罪,其主要目的是要誘騙企業將款項匯到駭客的銀行帳戶。主要有五種型態:假發票詐騙、執行長詐騙 (假冒企業 CXX 高層主管要求底下員工匯款)、盜用帳號、假冒律師、資料竊取。
表面上,似乎每天都有關於某家企業又被勒索數百萬美元的新聞,例如:俄羅斯 REvil 勒索病毒集團駭入使用 Kaseya IT 管理軟體的企業並勒索 7 千萬美元 的贖金。儘管勒索病毒經常占據媒體版面,但其損失金額跟變臉詐騙相比,其實是小巫見大巫。根據 FBI 的報告指出,2021 年變臉詐騙造成的損失金額高達 24 億美元,但勒索病毒造成的損失卻只有 4,920 萬美元。
BEC 變臉詐騙比勒索病毒黑心錢賺更兇的四個原因:
繼續閱讀奈及利亞「經濟與金融犯罪委員會」 (EFCC) 在一項名為「Operation Killer Bee」(殺人蜂行動) 的突襲誘捕行動當中逮捕了三名涉及全球詐騙的奈及利亞籍嫌犯。趨勢科技在這項行動當中提供了有關該集團的背景資訊及做案手法。
2020 年初,就在「石油輸出國組織」 (OPEC) 為了因應 新冠肺炎(COVID-19) 疫情而決定在俄羅斯與沙烏地阿拉伯地區減產前夕,許多石油天然氣產業的公司都遭到了網路攻擊,駭客使用的是Agent Tesla 惡意程式。我們分析了這起攻擊使用的惡意程式樣本 (趨勢科技命名為 TrojanSpy.MSIL.NEGASTEAL.THCAFBB,SHA-256 雜湊碼 0f67d58cb68cf3c5f95308f2542df6ff2e9444dc3efe9dd99dc24ab0f48a4756),找出了惡意程式背後的駭客集團以及他們的做案手法 ─ 假冒埃及某大型石油公司。
趨勢科技所分析的惡意程式會竊取某些應用程式和通訊協定的資訊與登入憑證,如:瀏覽器、電子郵件用戶端、FTP 檔案傳輸協定、Wi-Fi 等等。除此之外,也會鍵盤側錄輸入並擷取螢幕截圖。
除了使用 Agent Tesla 惡意程式之外,該集團還使用 Yandex 電子郵件服務來當成資料接收站。從監測資料當中我們觀察到很多偵測案例都出現在中東及東南亞地區,這一點相當合理,因為大多數的石油公司及生產設備和工廠都集中在這些地區。圖 1 的感染分布圖顯示的是資料接收站的資訊。
繼續閱讀