台灣這上半年來災情頻傳,新冠狀病毒(COVID-19, Coronavirus俗稱武漢肺炎) 的疫情才趨緩,這陣子許多重要機構又陸陸續續的傳出資安災情,像是敏感性資料遭竊並做為「進階持續性滲透攻擊」(以下簡稱 APT 攻擊)的材料,或是系統被癱瘓直接造成營運上的影響…,不論是哪一種資安事故帶來的後果都讓人難以承受。
根據行政院資通安全處的資料顯示,台灣政府單位每個月被攻擊的次數是2,000萬次到4,000萬次,而1年之中攻擊成功的次數也高達360次,平均下來,每天都會遭到10萬次左右的攻擊,且被駭客攻陷1次!
繼續閱讀一封冒稱健保局的「二代健保補充保險費扣繳辦法說明」,導致萬筆中小企業個資遭竊;一封偽裝銀行交易紀錄信件,導致南韓爆發史上最大駭客攻擊;996 名公僕因為一封標題為「李宗瑞影片,趕快下載呦!」信件, 以上是因好奇心中了社交工程陷阱著名案例。
你可以強化各種防禦措施,但人類的情感可能是整個安全防護體系中最脆弱的一個環節。正如趨勢科技資安威脅研究專案經理 Jamz Yaneza 所言,「您的許多連線可能都十分安全,唯有椅子和鍵盤之間的這個連線可能造成問題。」
社交工程技巧涵蓋許多用以操控人類心理,使他們採取特定行動或透露機密資訊的技巧。「社交工程技巧」一詞指的通常是用以收集資訊或電腦系統存取權限的詭計。社交工程圈套利用目前備受矚目的重大事件與新聞作為誘餌,無論是政治、運動、娛樂性質,同時也不分全球性或地區性。此外,社交工程圈套也可能利用日常活動作為誘餌,例如線上理財、投資、帳單管理以及購物等等。
您或許曾受吸引而去閱讀一些您收到的垃圾郵件的標題:
垃圾郵件是藉著博取收件者的信任感所設下的圈套。最近常見的手段即是偽裝成宅配業者寄出不在府通知郵件。例如:「您有包裹未取。詳情請點擊以下網址」等的文字記載 」或是讓很多 FB 用戶上當的「 12 小時內不驗證你的 Facebook 帳號,將被永久停權」 ,都在企圖誘導收件者進入不正當的網站,此手法近來頻頻可見。包誇近年大舉入侵全球的勒索病毒 Ransomware (勒索軟體/綁架病毒) 。
這些社交工程信件,常利用熱門政治新聞 、 宗教、文化、社會、環保以及科技活動相關議題,以及名名人八卦、慘劇、天災等等為散播主旨。
每年報稅期間’網路罪犯總會冒用稅務機關的標誌,試圖引誘納稅人中計。中國發生慘烈的大地震期間,風暴傀儡網路隨即散發中國再度遭地震襲擊的假新聞,垃圾郵件如洪水般湧入使用者的收件匣。這些垃圾郵件夾帶一個影片連結,一旦按下之後,便會下載一隻如蟲 (WORM_NUWAR.YH) 變更受害電腦設定,使之成為傀儡網路的成員。
早在病毒問世之際,網路罪犯便開始使用社交工程技巧。雖然電腦威脅不斷進化,但有一個事實從未曾改變:社交工程技巧的有效性。社交工程技巧的成功可歸因於它利用人類先天具有的情感,例如同理心、同情心、好奇及心恐懼等。人們會對運動員的成就讚嘆不已,對病痛感到畏懼,對於遭受天災侵襲的景況心生悲憫。社交工程技巧操弄這些情感,藉此引誘人們採取網路罪犯所期待的行動,以便讓他們的惡毒詭計得逞。
社交工程技巧能夠奏效的原因在於它利用人類輕信他人的天性。輕信他人的天性導致許多人可能成為攻擊行動的受害者。目前已有許多軟硬體能有效防範各式各樣的網路威脅。然而,整個防護體系中最脆弱的一個環節也是最可能遭受攻擊之處。就此而言,這個最脆弱的環節指的就是使用者。
雖然社交工程技巧已經流傳多年,但仍一再被利用,並且不斷演進。各式各樣的資安威脅,都會使用社交工程技巧。社交工程技巧在目標式攻擊中使用的頻率愈來愈高。網路罪犯以往只會利用全球性事件或新聞 (例如世界盃足球賽或情人節等) 來引誘使用者。現在,蠕蟲、大量發信程式及其他資安威脅會整合社交工程技巧以鎖定世界上的某個區域或特定國家。網路罪犯可能使用各地的語言,利用各地的重大事件或新聞為誘餌,使特定國家的人產生興趣。這使得運用大規模社交工程技巧的網路罪犯得以躲避偵測,同時還能引發嚴重的災情。在擁有大量新的網際網路使用者上線的國家,這種方式可能特別有效。
社交工程惡意程式專門假冒其他軟體和/或隱藏在其他軟體之內,引誘使用者下載並安裝該軟體,藉此趁機安裝惡意軟體。社交工程惡意程式不論對個人或對公司都會造成嚴重的風險,進而導致機密資訊遭盜用竊取、損毀或外流。
由於今日經由網頁感染的惡意程式佔所有惡意程式的50% 以上,因此這類威脅必須透過更精良的技術和資源來防範,而這也是桌上型電腦資訊安全產品目前努力的方向。
延伸閱讀:
PC-cillin 雲端版整合 AI 人工智慧的多層式防護,精準預測即時抵禦未知威脅 》即刻免費下載試用
強烈建議使用者不要使用Classic Ether Wallet的服務,因為駭客在6月29日成功地控制了這個網站。這個電子錢包系統管理的是Ethereum Classic數位貨幣(古典以太坊,ETC),在本文撰寫時對美元為1:18.15。來自Reddit等論壇的報導顯示有許多受害者因為此駭客事件而損失了數千美元。請注意,古典以太坊與 Ethereum(以太坊,ETH)是不同的,這是因為一次駭客事件讓以太坊社群分裂所造成。
根據 Ethereum Classic的開發者,駭客冒充為Classic Ether Wallet網站所有者來連絡網域註冊商,進而劫持了該網站(偽裝成高階主管或上級主管是常見的社交工程詐騙手法,常被用來取得寶貴資料)。經由此作法,駭客將網域重新導向自己的伺服器。並且在網站中插入程式碼來將使用者輸入的私鑰複製下來,讓駭客得以從受害者帳戶中取得資金。
Ethereum Classic團隊的回應方式是透過Twitter快速通知使用者這起駭客事件,並將該網站列入黑名單。使用者一開始會看到封鎖訊息及網路釣魚警告,不過該網站現在已經被關閉。
根據報導,數位貨幣使用者已經受到社交工程詐騙的嚴重影響。詐騙者通常會偽裝成受害者,讓服務商提供存取權限給連結多個帳戶的電話或設備。一旦取得權限,詐騙者會鎖定受害者,從可存取的帳戶中拿走一切。這對數位貨幣持有人來說是個大災難,因為交易在本質上是不可逆轉的。
除了社交工程外,還有其他更加複雜的威脅,尤其是現在數位貨幣變得越來越主流。攻擊者並不將目標限制在錢包或個人身上,而是用惡意軟體來感染系統和設備以進行數位貨幣採礦。
早在2011年,我們就偵測到與比特幣採礦相關駭客工具和後門程式的增加。現在惡意威脅變得更加先進,有漏洞的物聯網(IoT ,Internet of Thing)設備成為首要目標。從數位錄影機到路由器和連網監控攝影機,惡意軟體試圖感染更多設備好形成大規模的比特幣採礦廠。在2016年,我們偵測到一堆Windows設備、家用路由器和網路攝影像機淪為比特幣礦工。如果這些惡意軟體感染了企業系統,可能會影響生產力和運作能力,進而嚴重地影響業務。
想要保護好數位貨幣和企業系統,需要小心警慎和積極作為: 繼續閱讀
研究報告顯示假新聞已發展成一種新的營利模式,網路犯罪者善用此手法作為服務項目 FNaaS(Fake News as a Service),在全球包含俄羅斯、中國、中東及英語國家的地下市場販售,所提供的服務不止是散播假新聞,通常還包括產製這些新聞故事,並把它們行銷給目標族群,手法類似於內容行銷服務與社群媒體行銷運作,甚至透過點擊詐騙殭屍大軍(Botnet)為貼文或影片的觸及率灌水,讓特定內容更具權威性及可信度,間接操控輿論風向,例如:中國「寫作幫」販賣產製內容,每篇只需100至200人民幣(約400-800台幣)不等,甚至也利用社群媒體引發口碑效應,讓新聞文章被特定留言讚爆。相同手法也同樣能影響股價及金融市場,任何有心人士都能利用此服務散佈不實訊息來達到特定目的,其中以政治及商業目的最為常見,可能對全世界政治、金融局勢和整個媒體產業產生巨大影響。
談到「假新聞」三個字,人們大概會直接聯想到社群網站上一些超神奇、超誇張的故事。不過,儘管假新聞與社群網站有很大關聯,但社群網站上的假新聞卻並非只是標題誇張而已。
假新聞與網路宣傳
假新聞看似是一項今日才有的新問題,但其實這只是它的散布平台較為新穎而已。然而「鼓吹宣傳」這件事其實早已存在數百年,只是網際網路最近才成為人們散布謊言與不實資訊的管道。
火的燃燒有三項要素:氧氣、熱度和燃料。同樣地,假新聞要炒得起來,也需要三要素:工具與服務、社群網路、動機 (如下圖所示),而且只要缺乏其中一項,假新聞就無法散布或到達目標。
圖 1:假新聞的三項要素。
首先是在社群媒體上操弄和散布新聞的「工具與服務」,這些工具大多可透過全球各種網路社群取得,而且種類繁多。有些服務相當單純,例如付費購買「按讚數」和「追隨數」等等,有些則稍微複雜,例如在網路調查中灌水,或者迫使某網站管理員撤下某篇文章。無論如何,這些操弄社群媒體的工具和服務唾手可得,而且不一定要到地下市集才能取得。
其次,這些工具要發揮作用,首先得要有社群網站這個宣傳平台。而隨著人們經由這類網站吸收資訊和新聞的情況越來越普遍,其重要性實在不容小覷。不過,單純地將宣傳訊息 PO 上網,離訊息真正觸及目標對象還有一段距離。我們在報告中說明了歹徒利用何種技巧來引誘讀者閱讀其訊息。
此次針對社群媒體的研究,也讓我們也了解到 Twitter 網站上的內容機器人與讀者之間的關係,描繪出這類操弄性輿論的規模和組織。
最後,所有的宣傳背後必定有其「動機」。我們也探討了這些假新聞背後的動機,其中有些只是單純為了賺取廣告費,但有些則懷有犯罪或政治意圖。不論其動機為何,任何宣傳是否成功,最終還是要看它對真實世界有多大影響。
個案研究
報告中,我們舉出幾種不同的個案來說明這些宣傳的成效,以及歹徒如何利用假新聞來達到各種目的,如以下三圖所示:
趨勢科技最近發現另一種散播惡意軟體的獨特方法,當滑鼠停在PowerPoint投影片超連接的圖片或文字時就會中毒。
以偽裝的發票或採購訂單,包裝成PPSX或PPS檔案,誘使企業採購相關承辦人點擊
POWHOV.A木馬 以偽裝的發票或採購訂單,包裝成微軟PowerPoint Open XML Slide Show(PPSX)或PowerPoint Show(PPS)檔案,誘使企業採購相關承辦人點擊。
提醒您:PPS/PPSX跟PowerPoint投影片檔案(PPT或PPTX)不同,PPSX或PPS檔案打開就直接是投影模式,而後者可以進行編輯。
一旦受害者下載並打開檔案,將滑鼠移過內嵌惡意連結的文字或圖片即會觸發滑鼠懸停動作,內容被啟用後,內嵌的惡意PowerShell腳本會被執行下載另一個JScript編碼檔案格式(JSE)的下載程式(JS_NEMUCOD.ELDSAUGH),最後會從命令與控制(C&C)伺服器取得有效載荷。
並且在安全提示視窗跳出時選擇啟用內容。
由於微軟預設停用可疑檔案的內容,透過Office後期版本的保護瀏覽功能來減少Office功能被惡意使用,像是巨集和物件連結與嵌入(OLE)。因此,引誘受害人打開檔案並啟用惡意內容在系統上執行的關鍵是社交工程(social engineering )陷阱。
出現安全通知/提示的惡意PPSX檔案樣本 繼續閱讀