資料外洩/個資外洩 - 資安趨勢部落格

駭客正在覬覦您的個人資料，您該如何預防?

2019 年 07 月 30 日2019 年 07 月 16 日趨勢科技 TrendMicro

人們的生活越來越數位化，從購物、社交、通訊、到電視欣賞和玩遊戲，現在都能舒舒服服地透過桌上型電腦、筆記型電腦或行動裝置來完成。不過，要享受這樣的便利，我們必須提供一些個人資料來獲得服務。不論是提供簡單的姓名和電子郵件地址，或者進一步提供更敏感的資訊，如：身分證字號和信用卡卡號，這些所謂的身分識別資訊 (PII) 一旦提供給他人，都有可能讓我們暴露在危險當中。為什麼？因為駭客隨時都在覬覦這些資料，隨時都在想辦法竊取這些資料來讓他們獲利。

從美國聯邦調查局 (FBI) 網際網路犯罪申訴中心 (Internet Crime Complaint Center，簡稱 IC3) 的最新報告即可看出這類網路威脅的當前規模。2018 年，個人資料外洩在網路犯罪案例當中名列前茅，受害者高達 50,642 人，相關損失超過 1.488 億美元。而這很可能只是冰山一角，因為還有更多受害者並未報案。去年，資料外洩所導致的身分冒用讓受害者蒙受 1 億美元以上的損失。此外，專門誘騙使用者提供個人身分識別資訊與帳號密碼的網路釣魚(Phishing)攻擊，其造成的損失也超過 4,800 萬美元。

這傳達了一個相當明確的訊息：消費者迫切需要採取一些作為來防範這些網路竊賊，以保護自己最敏感的身分資料與金融資訊。而這也是趨勢科技為何撰寫這篇文章的原因：希望能協助您掌握自己的敏感資料，了解駭客的竊取手法，以及您該如何防範。

哪些資料可能面臨風險？

追根究柢，駭客的最終目的就是為了賺錢。雖然他們也可能利用網路勒索或勒索病毒 Ransomware (勒索軟體/綁架病毒)來達成目的，但最普遍的作法還是竊取資料來賺錢。駭客一旦偷到您的身分識別資料與金融資訊，就會將這些資料拿到黑暗網路賣給犯罪集團來從事各種詐騙。犯罪集團可能利用買來的網路銀行登入資訊進入您的帳戶、掏空您的存款。或者，也可能冒用您的身分來申辦信用卡，讓您欠下鉅額負債。

繼續閱讀

網路勒索集團清除了 12,000 多個 MongoDB 資料庫

2019 年 06 月 04 日2019 年 06 月 04 日趨勢科技 TrendMicro

過去幾週以來，全球有超過 12,000 個 MongoDB 資料庫遭到駭客清除，而使用者若想復原這些資料庫，就必須支付贖金給歹徒。

這樣的勒贖事件並非第一次出現，MongoDB 和類似的企業多年來一直不斷遭到這類攻擊。根據 Bleeping Computer 的報告指出，這起最新的資料庫受害案件是一位名叫 Sanyam Jain 的獨立資安研究人員所發現。Jain 利用 BinaryEdge 連網裝置搜尋引擎，發現了 12,564 個遭到清除的 MongoDB 資料庫。此外他還發現，這些攻擊的背後主謀很可能是 Unistellar 駭客團體。

Jain 最早是在四月份開始注意到這些攻擊，他發現有某個遭到清除的 MongoDB 資料庫當中含有一封簡短的勒索訊息。在經過進一步的追查之後，他發現了更多被清除的資料庫，以及兩個歹徒留下的電子郵件地址，這些地址指向 Unistellar 駭客集團。

該報告指出，駭客很可能是利用 BinaryEdge 和 Shodan 這類搜尋引擎來找尋暴露在網路上的 MongoDB 資料庫，並且採用自動化攻擊。其自動化腳本在找到並連上這些缺乏安全保護的資料庫之後，就會將資料庫清除。而且在清除資料之前會先建立還原點，以便能在受害者支付贖金之後將資料還原。之前的 MongoDB 攻擊案例都直接要求受害者支付一定比特幣 (bitcoin) 的贖金，但最近的這起攻擊卻只留下電子郵件聯絡地址，以便受害者能和歹徒聯繫並商量贖金。

繼續閱讀

網路勒索集團清除了 12,000 多個 MongoDB 資料庫

2019 年 05 月 21 日2019 年 05 月 31 日趨勢科技 TrendMicro

過去幾週以來，全球有超過 12,000 個 MongoDB 資料庫遭到駭客清除，而使用者若想復原這些資料庫，就必須支付贖金給歹徒。

繼續閱讀

歷年十大資料外洩事件

2019 年 03 月 19 日2019 年 03 月 08 日趨勢科技 TrendMicro

儘管人們對資料外洩事件的新聞似乎已逐漸感到麻痺，但隨著更嚴格的資料保護法規上路，保護使用者資料安全反而更加重要。現在，企業發生資料外洩不但必須通報，而且若企業會經手歐盟人民的資料，將還可能面對歐盟通用資料保護法 (GDPR) 最高年營業額 4% 的罰鍰。

光是今年就有不少知名品牌發生資料外洩，如：Macy’s、 Bloomingdale’s 以及 Reddit。其實，資料外洩對社會大眾而言，是相當切身的問題。因為光是一次的資料外洩就很可能造成數百萬、甚至數億筆個人資料及敏感資訊外流，而且受影響的不光只有遭到入侵的企業而已，甚至包括每一個資料遭到外洩的個人。

何謂資料外洩事件？

所謂資料外洩事件，是指駭客入侵某個資料來源並且偷走敏感資料的事件。竊取的方式包括直接進入企業內部然後偷走電腦或網路上的檔案，或者從遠端突破企業的網路安全防禦，進入其網路內部竊取資料。企業遭駭客攻擊的情況多半為後者，一般來說，資料外洩事件的攻擊過程如下：

研究：駭客會先研究目標企業的人員、系統或網路是否存在任何資安缺口。
攻擊：駭客接著利用網路或社交工程攻擊的方式試圖突破缺口。
網路攻擊/社交工程攻擊：所謂的網路攻擊是指駭客利用電腦基礎架構、系統與應用程式的弱點來滲透企業網路。社交工程攻擊是指誘騙企業的員工，讓員工在不知情的狀況下引兵入關，讓駭客進入企業網路。例如，員工可能被騙提供了自己的帳號密碼，或者開啟了某個惡意附件檔案使得電腦感染遭到感染。
資料外傳：駭客一旦進入企業的電腦，就能在內部網路進一步遊走，進而找出企業機密資料所在。當駭客成功取得資料並且將資料外傳之後，攻擊就算完成。

十大資料外洩事件有哪些？

下表是截至目前為止所知的十大資料外洩事件：

繼續閱讀

躲在系統四個月沒被發現?駭客竊取資料的五個隱身術

2019 年 02 月 21 日2019 年 03 月 19 日趨勢科技 TrendMicro

研究人員發現，光金融產業，每 1 萬個裝置就有大約 23 個「隱藏管道」管道，並且透過加密來掩飾。在其他產業則是每 1 萬個裝置大約有 11 個這類管道。

Equifax Inc. 資料外洩事件就是一個例子，駭客刻意避免使用一些可能引起資安人員或資安防護機制注意的工具和手法,讓歹徒在該公司的系統上躲藏了四個月以上。

提升您的資安態勢：認識網路犯罪集團神不知鬼不覺的技巧

保護企業關鍵資料、系統與資產的安全，是一項日益艱難的挑戰。不僅企業的數位足跡不斷隨著新增應用程式而擴大，而且駭客也在不斷提升能力來暗中入侵企業系統並長期躲藏不輕易讓 IT 團隊發現蹤跡。

駭客一直在利用各種技巧來掩蓋自己的足跡，以便能夠長期潛伏系統內部以持續竊取資料。根據趨勢科技的一項最新研究顯示，這類技巧正日益精密、精進，且越來越危險。

企業提升自身資安狀況最好的方法之一，就是主動掌握敵人的動向並主動出擊。以下將探討網路犯罪集團暗中潛入企業而不被發現的各種技巧。掌握了這些知識，IT 團隊就更能發掘駭客入侵相關的異常活動。

駭客如何掩蓋自己的足跡？

如同獵人會盡可能不被獵物發現一樣，駭客也會盡量避開 IT 人員與網路防護及應用程式防護的偵測。

正如趨勢科技研究人員在最新的年度預測報告「映對未來：對抗無所不在的持續性威脅」當中預言，駭客將其惡意活動融入企業正常流量的中的作法在未來只會更加普遍、也更具威脅性。

該報告指出：「為了因應資安廠商推出的新技術，尤其是機器學習(Machine learning,ML)在網路資安領域重新獲得青睞，網路犯罪集團將運用更高的技巧來『魚目混珠』。歹徒將不斷開發出所謂「就地取材」的技巧，也就是將一些日常運算裝置用於原本設計之外的用途，並且在網路上分享。」

目前，研究人員發現的幾種歹徒最常使用的五個策略包括：

1. 使用非傳統的副檔名來偽裝惡意程式:
今日大多數的惡意程式碼都不再經由傳統的執行檔來散布，因為使用者已經被訓練到很容易對這類檔案起疑。現在，駭客會使用一些較為罕見的檔案格式來包裝其惡意程式碼，例如.URL、.IQY、.PUB 與 .WIZ 等副檔名的檔案。這會讓使用者失去戒心，因而較容易受騙上當，開啟附加的檔案，進而遭到感染。

2.最小程度的修改:
駭客很快就學會避免做出一些使用者和資安軟體會列為可疑活動的行為，例如修改一些正常的檔案來感染系統。為此，網路犯罪集團現在都盡可能不要動到系統，只修改一些絕對必要的檔案或系統組態，只要能達成其目的即可。

3.新的惡意程式啟動方法:
不僅如此，網路駭客現在也開始改變其啟動惡意程式的方法，改用像 Mshta、Rundll32、Regasm、Regsvr32 等機制。

4.採用經過數位簽章的惡意程式:
該報告指出，採用經過數位簽章的惡意程式已經是一種駭客普遍的作法。未來，這仍將是一項嚴重的威脅。這項技巧非常有效，因為有了數位簽章之後，駭客的惡意程式看起來更像一般正常的應用程式，也更容易躲過資安產品的偵測。

The Hacker News 特約記者 Swati Khandelwal 解釋：「駭客使用知名機構外洩的數位憑證來簽署惡意程式，如此可避免惡意程式被企業網路或消費者裝置的資安軟體偵測。

5.無檔案惡意程式

除了前述幾項技巧之外，駭客也開始逐漸採用無檔案病毒(fileless malware)來躲避傳統以檔案掃瞄為主的資安產品。根據本部落格(資安趨勢部落格)文章指出，無檔案惡意程式基本上是利用軟體或系統的漏洞來避免引起使用者或資安軟體的注意。

一種作法就是利用 PowerShell 這類 Windows 內建系統工具或 Microsoft Word 巨集來偷偷執行惡意指令以入侵系統。其執行的指令可隨駭客希望達成的目標或希望在系統內逗留的時間而變化。

趨勢科技研究人員指出：「今日的資安產品大多根據惡意檔案的特徵來偵測惡意程式。然而，由於無檔案惡意程式在感染系統時並非透過檔案的形式，因此資安產品便無從偵測。」

所以，無檔案惡意程式不但特別危險、也特別不易偵測 (但也並非不可能)。

隱藏管道

The Wall Street Journal 特約記者 Adam Janofsky 在一篇報導中指出，駭客越來越常利用所謂的「隱藏管道」將其活動暗藏在正常企業應用程式流量與通訊協定當中，暗中傳送竊取的資料。目前，這項威脅對金融機構的威脅最大，因為駭客可經由這類管道避開存取控管與入侵偵測系統。但事實上，隱藏管道的威脅不論對任何產業都是一項威脅。

Janofsky 表示：「這類管道通常都暗藏在一些會經由企業網路對外連接的應用程式，例如：第三方資料分析工具、雲端金融業應用程式以及股價即時資訊系統。」

駭客一旦進入企業系統，就有機會竊取大量敏感資訊與智慧財產，並利用更多技巧來隱藏其活動。駭客通常不直接竊取大型檔案，而是將資料切割成較小單位，以避免觸動企業資安產品的警報。

根據 Ventra Networks Inc. 的一項報告，這些隱藏管道比一般人想像還多。研究人員發現，光金融產業，每 1 萬個裝置就有大約 23 個這類管道，並且透過加密來掩飾。在其他產業則是每 1 萬個裝置大約有 11 個這類管道。

躲避偵測來提高資料竊盜的影響與損害

歹徒希望能躲避偵測的最大原因之一就是希望延長其行動與資料外洩的持續時間。Janofsky 解釋，Equifax Inc. 資料外洩事件就是一個例子，駭客刻意避免使用一些可能引起資安人員或資安防護機制注意的工具和手法。這樣的作法讓歹徒在該公司的系統上躲藏了四個月以上。

駭客暗中躲藏的能力不論對任何產業都是一項重大威脅。面對這樣的威脅情勢，企業最好的應對方法就是主動出擊，隨時吸收最新的駭客手法，並針對其手法隨時注意各種相關的蛛絲馬跡。

如欲深入了解如何採用最新的資安策略來提升您的資安態勢，請立即與趨勢科技資安專家聯繫。

原文出處：Informing Your Security Posture: How Cybercriminals Blend into the Background