短短 6天之內海撈 70 萬美元 !重大網路釣魚頻傳,FBI 發出警告

從近期重大攻擊事件,看網路釣魚手法

儘管網路釣魚(Phishing)相對於今日媒體上經常看到的精密攻擊似乎已經過時,但它仍是一項持續不斷的威脅。歹徒依然能夠透過一些新的手法來竊取企業的重要資料、珍貴資產,甚至破壞營運基礎架構。

phishing

7月初全球第四大數位貨幣交易所 Bithumb 的一位員工 遭駭,歹徒偷走了一批聯絡人電話、電子郵件地址等等,接著,歹徒利用偷來的資訊發動一波網路釣魚攻擊,但卻使用以往罕見的手法。同樣地,數位貨幣 Ethereum (乙太幣) 的用戶也在同月遭到攻擊。根據報導,駭客藉由網路釣魚手法在短短 6天之內海撈了 70 萬美元。

除了數位貨幣之外,美國能源機構與關鍵基礎架構也遭到持續性網路釣魚攻擊。其嚴重程度甚至引起美國聯邦調查局 (FBI) 和國土安全部 (Homeland Security) 的關注,並發出警告通知各機關嚴加防範。根據 媒體報導,這些網路釣魚電子郵件使用了一項罕見的技巧來蒐集受害者資訊。

趨勢科技為了協助使用者了解並防範這些新的威脅,以下將詳細介紹最近幾次攻擊所用的手法和技巧:

陳年伎倆:語音釣魚,導致南韓數位貨幣交易所損失超過數十億韓元

傳統的網路釣魚詐騙都是假冒知名機構的名義發出電子郵寄,接著,不是誘騙受害者輸入帳號密碼,就是將受害者重導至惡意網站。但前面提到的 Bithumb 攻擊案例卻用了一個陳年的老技巧:語音釣魚 (vishing)。歹徒利用從 Bithumb 員工偷來的資料, 假冒成 Bithumb 高階主管打電話給受害者,謊稱受害者的帳戶遭駭客入侵,要求受害者提供密碼和其他重要的帳戶安全資訊。根據媒體報導,受害者損失超過數十億韓元  (該交易所位於南韓)。

語音釣魚不像網路釣魚那樣大家耳熟能詳,而且它比其他詐騙手法更加仰賴社交工程技巧,因此,歹徒能否得逞全看他是否露出破綻,是否能完全掌控受害者的心理。在該案例中,歹徒從 Bithumb 偷到的資訊或許是他們的成功關鍵,因為歹徒在撥打電話時,已明確掌握受害者帳戶的詳細資訊,因此會讓人覺得相當可信,且不易露出破綻。

小眾網路論壇釣大魚: 假冒論壇管理員名義,通知論壇成員檢查自己的帳戶,騙帳號密碼

除了語音釣魚之外,前述數位貨幣用戶也遭到了一項比一般網路釣魚郵件更具針對性的攻擊技巧。這一次,駭客是 經由 Ethereum subreddit 及 Slack 這類小眾論壇來散發釣魚訊息。歹徒假冒論壇管理員名義,宣稱因為某個熱門的 Ethereum錢包已遭駭入侵,因此通知論壇成員檢查自己的帳戶。歹徒成功地從多位上當的成員當中騙取到帳號密碼,並且偷走價值數十萬美元 Ethereum。較為精明的使用者或許能夠分辨網路釣魚郵件,但公告在網路論壇或佈告版上的釣魚訊息或許就不是那麼容易分辨。使用者在這些小眾社群當中或許會覺得較有安全感,畢竟論壇上的內容大多是老手和經驗豐富的成員所整理出來。所以,很可能就是因為論壇給人一種莫名的安全感,才被這類訊息所騙。

範本注入攻擊:利用電子郵件挾帶一個暗藏惡意巨集的 Word 文件,但並非用巨集

在美國能源機構所遭到的攻擊中,歹徒將傳統的網路釣魚手法加以翻新,利用電子郵件挾帶一個暗藏惡意巨集的 Word 文件。但歹徒利用的並非巨集,而是範本注入技巧,這是一種網路釣魚當中相對罕見的新手法。受害的能源機構收到了隨附 Word 格式假履歷表或環境檢驗報告的電子郵件。使用者只要開啟文件,系統就會經由 Server Message Block (SMB) 檔案分享協定從某個外部伺服器下載一個範本檔案。如果下載成功,駭客就能偷偷取得使用者的帳號密碼。該連線是經由 Microsoft 使用的 TCP 445 連接埠。媒體報導 也指出,其手法類似同樣利用 Word 文件與範本注入手法的 Phishery 惡意程式。由於這是一項較新的手法,因此使用者很可能不曉得 Word 文件竟會從外部下載範本或連線至惡意伺服器,而且還會暗中取得使用者帳號密碼。

template injection

圖 1:範本注入攻擊流程。

如何防範網路釣魚攻擊

網路釣魚至今依然歷久不衰,甚至能結合傳統技巧並加以翻新,所以才能在前述攻擊中得逞。此外根據報導,使用者似乎對於自己的分辨能力過於自信,反而疏於防範,所以更容易上當。

防範網路釣魚的七個基本原則:

任何人都一樣,使用者能做的就是盡量 吸收新知、保持警戒、做好萬全準備。以下是防範網路釣魚的一些基本原則:

  1. 針對語音釣魚 (vishing),在接到來電時,務必仔細觀察對方的行為是否異於該機構以往的處理方式,此外也參考一下業界的標準作法。若有任何不尋常之處,先斷然拒絕,然後再透過其他管道來進一步深入了解。
  2. 網路管理員切勿允許像 SMB 這類的通訊對外連線,除非營運環境有特殊需求。
  3. 使用者應避免下載任何附件,除非來自於已知且信賴並經過確認的來源。
  4. 凡是需要額外下載內容或是需要輸入登入憑證才能開啟的附件,必須特別小心。
  5. 使用者可利用電子郵件用戶端內建的安全功能來過濾郵件。其中一項功能就是擋掉所有的圖片,等使用者真的想看時再手動核准。
  6. 趨勢科技的全球網站安全中心能幫助客戶手動檢查某個網址是否為惡意網址。

趨勢科技 InterScan™ Messaging Security  能運用全球威脅情報在雲端攔截電子郵件威脅,並且利用資料外洩防護與加密來保護您的資料,同時又能發掘針對性攻擊電子郵件、勒索病毒與進階持續性滲透攻擊 (APT),是趨勢科技 Network Defense 網路防禦解決方案不可或缺的一環。  其混合式 SaaS 部署選項結合了企業內部署虛擬裝置的隱私與掌控能力,以及雲端式預先過濾的主動防護。

趨勢科技PC-cillin雲端版能保護使用者的多台裝置,讓使用者自由自在地享受數位生活。該產品內含勒索病毒防護,能攔截電子郵件和即時通訊當中的惡意連結,並提供垃圾郵件過濾以及有效的網路釣魚防護。

⊙原文出處:Critical Attacks Emphasize the Continuing Menace of Phishing

 

 

【 Cloudsec 2017 席次額滿 】謝謝支持 CLOUDSEC 企業資安高峰論壇,由於報名踴躍,席次已經額滿且截止報名

如果您今年沒有機會報名,2017.09.06 (三)活動當天可以上 CLOUDSEC 官方網站觀看線上直播與現場來賓一起掌握最新資安情資。再次謝謝大家熱情的參與