美國奧勒岡州 DHS 遭遇網路釣魚攻擊
美國奧勒岡州的 Department of Human Services (DHS) 近期對外公告,有超過 35 萬名客戶的健康資訊遭到曝光。經奧勒岡州 DHS 資安團隊調查發現,研判資料外洩的起因是:有九名員工點擊了網路釣魚 URL,使員工的電子郵件帳戶資訊與信箱遭到入侵。
〔延伸閱讀: 變臉詐騙(BEC)將深入基層職員,員工沒看穿的騙局,造成的損失可能比病毒還大! 〕
據新聞稿指出,奧勒岡州 DHS 員工是在 2019 年 1 月 8 日收到魚叉式網路釣魚的電子郵件,而遭到入侵的信箱內據說有將近 200 萬封電子郵件。直到 1 月 28 日,才確定有客戶的個人健康資訊或受保護的健康資訊 (PHI) 遭到未經授權人士的存取。奧勒岡州 DHS 表示,雖然他們阻止了更進一步對入侵信箱的未授權存取,但卻無法證實是否有任何 PHI 遭到竊取或濫用。
客戶遭外洩的 PHI 屬於健康保險隱私及責任法案 (HIPAA) 的保護範圍,此外,該事件依奧勒岡州身分竊取保護法 (Identity Theft Protection Act) 亦屬違法。該資料外洩中可能遭到入侵的資訊包括下列項目:姓氏和名字、地址、生日、社會安全碼、個案編號,以及其他用於管理 DHS 計畫的資訊。
網路罪犯為了入侵電子郵件帳戶及各種其他服務,使用越來越多樣化的方式來發動網路釣魚攻擊。美國特勤局在 1 月分享了可能連結到加密文件的魚叉式網路釣魚電子郵件相關資訊。使用者點擊 URL 時,會出現假的 Office 365 登入要求表單,要求其輸入電子郵件帳戶憑證。使用者一旦採信,網路罪犯便能取得其電子郵件帳戶的存取權。
〔延伸閱讀:「一封郵件騙走一棟房子」老闆,別再成詐騙集團金雞母 ! 2018年趨勢科技首創 AI 技術防禦BEC 詐騙〕
解決方案
會竊取電子郵件帳戶憑證,進而掌控信箱的網路釣魚電子郵件仍四處流竄中。在 2018 年,Cloud App Security for Microsoft Office 365 解決方案共偵測並攔截了 3,530,495 封採用高級欺騙技巧的網路釣魚電子郵件,像是使用有著合法外觀的假登入頁面來採集使用者憑證。
為避免成為憑證網路釣魚攻擊和其他進階電子郵件威脅的受害者,組織確實應考慮採用進階的資安技術。
Cloud App Security,此為額外的資安層,可用於現有的電子郵件閘道,並可使用人工智慧 (AI) 與電腦視覺技術,協助偵測及攔截憑證網路釣魚的攻擊。如果員工收到疑似網路釣魚的電子郵件,系統將對電子郵件進行寄件人、內容和 URL 聲譽的分析。接著,利用電腦視覺和 AI 對其餘的 URL 進行檢查,查看合法登入頁面的品牌元素、登入表單,以及其他網站元件是否遭到冒充。
[延伸閱讀:「您的信箱已滿」駭客說的!運用AI(人工智慧)看穿鎖定Office 365網路釣魚]
除了使用進階的電子郵件解決方案,組織也可透過告知員工面對電子郵件威脅時的最佳實務,以及利用我們的免費網路釣魚模擬和使用者訓練,進行員工訓練。
[延伸閱讀:趨勢科技 2018 年 Cloud App Security 報告: 針對進階電子郵件威脅的進階防禦]
◎原文來源:: Health Information of 350,000 Oregon DHS Clients Exposed After Phishing Attack