分類: 資安新聞

美國奧勒岡州 DHS 遭遇網路釣魚攻擊

美國奧勒岡州的 Department of Human Services (DHS) 近期對外公告，有超過 35 萬名客戶的健康資訊遭到曝光。經奧勒岡州 DHS 資安團隊調查發現，研判資料外洩的起因是：有九名員工點擊了網路釣魚 URL，使員工的電子郵件帳戶資訊與信箱遭到入侵。

〔延伸閱讀: 變臉詐騙(BEC)將深入基層職員,員工沒看穿的騙局,造成的損失可能比病毒還大! 〕

據新聞稿指出，奧勒岡州 DHS 員工是在 2019 年 1 月 8 日收到魚叉式網路釣魚的電子郵件，而遭到入侵的信箱內據說有將近 200 萬封電子郵件。直到 1 月 28 日，才確定有客戶的個人健康資訊或受保護的健康資訊 (PHI) 遭到未經授權人士的存取。奧勒岡州 DHS 表示，雖然他們阻止了更進一步對入侵信箱的未授權存取，但卻無法證實是否有任何 PHI 遭到竊取或濫用。

客戶遭外洩的 PHI 屬於健康保險隱私及責任法案 (HIPAA) 的保護範圍，此外，該事件依奧勒岡州身分竊取保護法 (Identity Theft Protection Act) 亦屬違法。該資料外洩中可能遭到入侵的資訊包括下列項目：姓氏和名字、地址、生日、社會安全碼、個案編號，以及其他用於管理 DHS 計畫的資訊。

網路罪犯為了入侵電子郵件帳戶及各種其他服務，使用越來越多樣化的方式來發動網路釣魚攻擊。美國特勤局在 1 月分享了可能連結到加密文件的魚叉式網路釣魚電子郵件相關資訊。使用者點擊 URL 時，會出現假的 Office 365 登入要求表單，要求其輸入電子郵件帳戶憑證。使用者一旦採信，網路罪犯便能取得其電子郵件帳戶的存取權。

一名利用變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise BEC)詐騙對Google和Facebook騙取超過1億美元的立陶宛男子在3月20日承認犯下電匯詐欺罪行。50歲的Evaldas Rimasauskas及未具名合作夥伴冒充為知名台灣硬體公司(Facebook和Google的商業夥伴)。他們精心設計的詐欺行動先從在拉脫維亞設立假硬體公司開始。接著該集團寄送假發票、合約、郵件等給高科技公司，在數年內錯誤地向他們收取數百萬美元的費用。

這些文件看起來很正常，Google和Facebook從2013年到2015年將錢匯入Rimasauskas控制的帳戶。根據報導，他透過拉脫維亞、塞普勒斯、斯洛伐克、立陶宛、匈牙利及香港的銀行洗錢。

Rimasauskas同意被沒收4,970萬美元，他的宣判時間定於7月24日。他可能面臨長達30年的監禁。