從三個來自企業內部的網路釣魚案例,談如何防範內部網路釣魚攻擊?

幾年前,金融時報發生了一起差點釀成悲劇的攻擊。駭客 (事後證明是敘利亞網軍) 利用一個事先入侵的電子郵件帳號,在金融時報內部發送網路釣魚郵件,進一步取得了更多電子郵件帳號的登入憑證。當 IT 人員發現這起內部網路釣魚攻擊時,立刻透過郵件通知所有使用者,並附上一個連結讓使用者更改密碼。問題是,駭客也看到了 IT 人員的這封信,因此又重發了一次該信,但是將連結改成指向駭客架設好的網路釣魚網站。這下子駭客順利取得了所有他們想要的系統帳號密碼,不過最後,駭客覺得金融時報只是個小咖,因此轉而攻擊其他媒體機構。

案例一:竊取高達 87GB敏感資料的 EyePyramid,被誤認是國家級駭客的想發財兄妹檔!

案例二:內部 Office 365 登入憑證網路釣魚,詐財匯款得逞

案例三:駭客修改金融時報IT 人員發送給內部的密碼修改連結,差點釀成悲劇

 

今日資安人員日益擔心的一項問題就是「來自內部」的網路釣魚(Phishing)攻擊,也就是由企業機構內部同仁所寄來的網路釣魚郵件。內部網路釣魚郵件通常是駭客多個攻擊步驟的環節之一,駭客通常先讓使用者裝置感染惡意程式,以便掌控使用者的電子郵件信箱,或取得使用者的帳號密碼。接著,歹徒再利用這個郵件帳號在企業內部發送網路釣魚郵件以從事針對性攻擊,進而竊取企業資訊或從事勒索。除此之外,變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC)也經常利用這類郵件來促使財務部門匯款。由於寄件者是內部的同仁,因此收件者很容易不疑有詐。

案例一:竊取高達 87GB敏感資料的 EyePyramid,被誤認是國家級駭客的想發財兄妹檔!

今年稍早遭到起訴的「Eye Pyramid」犯罪集團,多年來成功竊取了不少資料。他們最愛使用的技巧就是夾帶惡意附件的網路釣魚郵件,他們會先入侵一位使用者的帳號,然後再利用該帳號來入侵另一名使用者的帳號。其電子郵件附件所夾帶的惡意程式會蒐集使用者的資料,並將資料傳送給駭客,其中也包括電子郵件地址,因此他們就能尋找下一個攻擊目標。歹徒用這方法入侵了 100 多個電子郵件網域以及 18,000 個電子郵件帳號。如此龐大的規模看似是政府撐腰的駭客集團所為,但其實只是一位義大利核子工程師和他妹妹而已,兩人單純只是想靠竊取資料發財而已。

Eye Pyramid 攻擊示意圖  

案例二:內部 Office 365 登入憑證網路釣魚,詐財匯款得逞

熱門的 Microsoft Office 365 軟體也是駭客喜愛攻擊的目標。我們已看過許多攻擊案例都是針對 Office 365 而來,專門騙取使用者的登入憑證。駭客一旦入侵了使用者的電子郵件帳號,就可以利用該帳號從事變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC),讓公司的財務部門將款項匯到駭客指定帳戶,以下就是一個範例:

歹徒先是利用網路釣魚騙取 Office 365 登入憑證,接著利用被害人的電子郵件帳號進行變臉詐騙,順利騙得匯款。 

 

案例三:駭客修改金融時報IT 人員發送給內部的密碼修改連結,差點釀成悲劇

幾年前,金融時報發生了一起差點釀成悲劇的攻擊。駭客 (事後證明是敘利亞網軍) 利用一個事先入侵的電子郵件帳號,在金融時報內部發送網路釣魚郵件,進一步取得了更多電子郵件帳號的登入憑證。當 IT 人員發現這起內部網路釣魚攻擊時,立刻透過郵件通知所有使用者,並附上一個連結讓使用者更改密碼。問題是,駭客也看到了 IT 人員的這封信,因此又重發了一次該信,但是將連結改成指向駭客架設好的網路釣魚網站。這下子駭客順利取得了所有他們想要的系統帳號密碼,不過最後,駭客覺得金融時報只是個小咖,因此轉而攻擊其他媒體機構。

電子郵件閘道防護無法掃描內部郵件,如何防範內部網路釣魚攻擊?

要防範內部網路釣魚攻擊,首先第一步就是採用多重認證,以降低駭客掌握使用者登入憑證之後的危險。不過,就算採用多重認證,萬一使用者的裝置感染了惡意程式,還是無法避免內部網路釣魚。此外,很多人不知道電子郵件閘道防護只能掃瞄「由外而內」以及「由內而外」的郵件,內部郵件其實掃不到。若要掃瞄內部郵件,企業可以使用搭配日誌功能的防護產品,或是能夠與郵件服務或郵件伺服器整合的防護產品。不管哪一種解決方案,最好要能掃瞄所有類型的電子郵件威脅,包括郵件內容、附件和網址都要能夠掃瞄。

 

勒索病毒 40 秒內就可以加密 10,000 個檔案, 建議採用日誌功能與搭配郵件服務整合的防護產品

採用搭配日誌功能的防護產品

第一種方法是利用電子郵件系統的日誌功能,將每一封內部郵件都傳送一份副本給資安服務以進行離線分析。這個方法雖然可以偵測攻擊,但卻無法攔截攻擊。某些搭配日誌功能的資安服務可利用 Exchange 工具將分析過的電子郵件刪除。但是在分析過程當中 (如果是透過沙盒模擬分析大約需要 5 分鐘),使用者還是可能看到電子郵件和附件檔案。此時如果附件檔案是個勒索病毒,那麼就算發現到了也為時已晚,因為像 Teslacript 這樣的勒索病毒,40 秒內就可以加密 10,000 個檔案

與郵件服務整合的防護產品

前述問題可採用與郵件服務整合的防護產品來解決,因為這類產品可以透過 API 和郵件系統直接整合。當郵件系統收到一封電子郵件時,就會經由 API 通知資安產品,並且先不讓使用者看到電子郵件,直到分析完成為止。企業內可採取支援 Microsoft Exchange 和 IBM Domino 伺服器的軟體解決方案。至於 Microsoft Office 365這類的雲端郵件系統,也有可搭配的 API 式解決方案,只要廠商開放 API 給資安產品使用即可。 

趨勢科技解決方案

從 1997 年起,趨勢科技即已提供防範內部電子郵件威脅的產品,並且隨著技術不斷翻新而推出新的強化功能。我們能夠掃瞄惡意程式、惡意網址,此外,我們最新的 XGen® 變臉詐騙防護技術還可偵測內部詐騙電子郵件。我們的 ScanMail 可保護企業內的 Microsoft Exchange IBM Domino 電子郵件伺服器。至於 Office 365 則可透過我們的 Cloud App Security 來加以防護,這套解決方案在過去兩年內已偵測到 600 萬個 Office 365 內建防護所無法偵測的高風險威脅。Cloud App Security 可單獨部署,也可搭配郵件前端的閘道防護一起部署,如:郵件安全代管服務Hosted Email Security