儘管電子郵件詐騙存在已久,但至今 網路釣魚(Phishing)依然氾濫,因為就是有人上當。絕大多數收到這類惡意郵件的人都能分辨,並且直接將它刪除,只有少數人會真的開啟這些郵件。不過有趣的是,紐西蘭一家網路安全推廣非營利機構 Netsafe 開發了一種專門用來「詐騙」網路詐騙集團的人工智慧 (AI) 機器人。
使用者只需將疑似詐騙的郵件寄到 Netsafe 的電子郵件地址:me@rescam.org 就能啟動「Re:scam」人工智慧機器人軟體來反將詐騙集團一軍。該公司在收到電子郵件之後,會再次確認是否真的為詐騙郵件。一旦確認,就會利用一個代理郵件地址來和詐騙集團聯繫。他們會讓人工智慧機器人會發送大量與該詐騙相關的各種不同郵件到寄信人的電子郵件地址。Re:scam 的目的是要浪費詐騙集團的時間,因為其信件內容自然而不做作,看起來就像真的受害者上當之後回應歹徒詐騙的信件一樣。 繼續閱讀
幾年前,金融時報發生了一起差點釀成悲劇的攻擊。駭客 (事後證明是敘利亞網軍) 利用一個事先入侵的電子郵件帳號,在金融時報內部發送網路釣魚郵件,進一步取得了更多電子郵件帳號的登入憑證。當 IT 人員發現這起內部網路釣魚攻擊時,立刻透過郵件通知所有使用者,並附上一個連結讓使用者更改密碼。問題是,駭客也看到了 IT 人員的這封信,因此又重發了一次該信,但是將連結改成指向駭客架設好的網路釣魚網站。這下子駭客順利取得了所有他們想要的系統帳號密碼,不過最後,駭客覺得金融時報只是個小咖,因此轉而攻擊其他媒體機構。
案例一:竊取高達 87GB敏感資料的 EyePyramid,被誤認是國家級駭客的想發財兄妹檔!
案例二:內部 Office 365 登入憑證網路釣魚,詐財匯款得逞
案例三:駭客修改金融時報IT 人員發送給內部的密碼修改連結,差點釀成悲劇
今日資安人員日益擔心的一項問題就是「來自內部」的網路釣魚(Phishing)攻擊,也就是由企業機構內部同仁所寄來的網路釣魚郵件。內部網路釣魚郵件通常是駭客多個攻擊步驟的環節之一,駭客通常先讓使用者裝置感染惡意程式,以便掌控使用者的電子郵件信箱,或取得使用者的帳號密碼。接著,歹徒再利用這個郵件帳號在企業內部發送網路釣魚郵件以從事針對性攻擊,進而竊取企業資訊或從事勒索。除此之外,變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC)也經常利用這類郵件來促使財務部門匯款。由於寄件者是內部的同仁,因此收件者很容易不疑有詐。
今年稍早遭到起訴的「Eye Pyramid」犯罪集團,多年來成功竊取了不少資料。他們最愛使用的技巧就是夾帶惡意附件的網路釣魚郵件,他們會先入侵一位使用者的帳號,然後再利用該帳號來入侵另一名使用者的帳號。其電子郵件附件所夾帶的惡意程式會蒐集使用者的資料,並將資料傳送給駭客,其中也包括電子郵件地址,因此他們就能尋找下一個攻擊目標。歹徒用這方法入侵了 100 多個電子郵件網域以及 18,000 個電子郵件帳號。如此龐大的規模看似是政府撐腰的駭客集團所為,但其實只是一位義大利核子工程師和他妹妹而已,兩人單純只是想靠竊取資料發財而已。
主要針對政府,高級官員和外交官的 Turla 網路間諜集團,這次鎖定G20 數位經濟工作小組,根據 媒體報導,該網路間諜集團目前正緊盯著即將在德國漢堡舉行的 G20 數位經濟工作小組高峰會,並提早部署一個叫作 KopiLuwak 的後門程式 (趨勢科技命名為 TROJ_KOPILUWAK.A、 JS_KOPILUWAK.A 和 JS_KOPILUWAK.B),專門鎖定所有受邀人員、來賓及各國代表。此後門程式除了會竊取資料之外,還會下載更多惡意程式到受感染的電腦上執行,或者執行其他指令。資安研究人員已經通知德國電腦緊急應變聯合中心 CERT-Bund。
[延伸閱讀:何謂魚叉式網路釣魚,您該如何防範?]
假的 G20 工作小組高峰會 PDF邀請函,引誘受害者開啟
根據觀察,Turla 的最新行動很可能會利用水坑式攻擊和魚叉式釣魚攻擊(SPEAR PHISHING)郵件並利用一個假的 G20 工作小組高峰會邀請函來引誘受害者開啟。這項會議即將在 10 月舉行,資安專家發現,前述魚叉式網路釣魚郵件所挾帶的 PDF 文件 (檔名「Save the Date G20 Digital Economy Taskforce 23 24 October.pdf」) 似乎是個正常檔案,但卻只是個分散注意力的誘餌。此外它會在系統植入一個惡意 JavaScript 檔案,解密之後會在受感染電腦記憶體內執行 KopiLuwak。
[延伸閱讀:APT10/menuPass 的網路間諜行動 Operation Cloud Hopper 攻擊託管式服務供應商]
儘管網路釣魚(Phishing)相對於今日媒體上經常看到的精密攻擊似乎已經過時,但它仍是一項持續不斷的威脅。歹徒依然能夠透過一些新的手法來竊取企業的重要資料、珍貴資產,甚至破壞營運基礎架構。
7月初全球第四大數位貨幣交易所 Bithumb 的一位員工 遭駭,歹徒偷走了一批聯絡人電話、電子郵件地址等等,接著,歹徒利用偷來的資訊發動一波網路釣魚攻擊,但卻使用以往罕見的手法。同樣地,數位貨幣 Ethereum (乙太幣) 的用戶也在同月遭到攻擊。根據報導,駭客藉由網路釣魚手法在短短 6天之內海撈了 70 萬美元。
除了數位貨幣之外,美國能源機構與關鍵基礎架構也遭到持續性網路釣魚攻擊。其嚴重程度甚至引起美國聯邦調查局 (FBI) 和國土安全部 (Homeland Security) 的關注,並發出警告通知各機關嚴加防範。根據 媒體報導,這些網路釣魚電子郵件使用了一項罕見的技巧來蒐集受害者資訊。
趨勢科技為了協助使用者了解並防範這些新的威脅,以下將詳細介紹最近幾次攻擊所用的手法和技巧:
陳年伎倆:語音釣魚,導致南韓數位貨幣交易所損失超過數十億韓元
傳統的網路釣魚詐騙都是假冒知名機構的名義發出電子郵寄,接著,不是誘騙受害者輸入帳號密碼,就是將受害者重導至惡意網站。但前面提到的 Bithumb 攻擊案例卻用了一個陳年的老技巧:語音釣魚 (vishing)。歹徒利用從 Bithumb 員工偷來的資料, 假冒成 Bithumb 高階主管打電話給受害者,謊稱受害者的帳戶遭駭客入侵,要求受害者提供密碼和其他重要的帳戶安全資訊。根據媒體報導,受害者損失超過數十億韓元 (該交易所位於南韓)。
語音釣魚不像網路釣魚那樣大家耳熟能詳,而且它比其他詐騙手法更加仰賴社交工程技巧,因此,歹徒能否得逞全看他是否露出破綻,是否能完全掌控受害者的心理。在該案例中,歹徒從 Bithumb 偷到的資訊或許是他們的成功關鍵,因為歹徒在撥打電話時,已明確掌握受害者帳戶的詳細資訊,因此會讓人覺得相當可信,且不易露出破綻。
小眾網路論壇釣大魚: 假冒論壇管理員名義,通知論壇成員檢查自己的帳戶,騙帳號密碼 繼續閱讀
一起針對企業的惡意電子郵件攻擊活動利用漏洞攻擊結合Windows元件來植入新後門,讓攻擊者可以接管中毒系統。攻擊者利用各種合法Windows元件來執行惡意腳本; 這也讓偵測和封鎖變得更具困難,尤其是對使用白名單的解決方案來說。
趨勢科技在一個月內已經觀察到至少五波攻擊,每一波都會寄送數份惡意電子郵件給目標。受影響產業為金融機構(包括銀行)和礦業公司。值得注意的是,攻擊者在每波攻擊時都會利用多種手法來寄送電子郵件給每個目標。
這起攻擊的相關惡意動態連結函式庫(DLL)樣本最早在2017年6月6日被上傳到VirusTotal,這跟我們在6月的最後一周和7月27日間看到一連串的電子郵件攻擊的時間點相近。
推測這起攻擊應該仍在進行中,少量散播和社交工程誘餌的特定性顯示出這可能是起魚叉式釣魚攻擊(SPEAR PHISHING)攻擊活動。
圖1、惡意電子郵件活動的攻擊鏈
圖2、送給一個目標的不同惡意電子郵件(時間順序為自左向右,順時針方向)