《資安漫畫》將公司信件轉到私人信箱,有何不妥?

  如果未經公司同意擅自使用私人雲端服務的狀況下,會遭遇到哪些威脅?

    多數的企業,是禁止未經許可任意將工作上的數據儲存於私人的雲端服務及轉傳至免費信箱的。這是因為極有可能由於服務業者遭網路攻擊或其他疏失,導致帳號及密碼洩漏,而使得用戶儲存於此服務的機密敏感資訊及個資遭到外洩。況且,一旦數據有所損壞或外洩也有可能得不到任何賠償。

鎖定科技產業員工免費信箱的攻擊事件

    2019年發生一起專鎖定科技產業員工免費信箱的網路釣魚事件, Heatstroke使用了圖像隱碼術(Steganography)等複雜的技術,不只是冒用合法網站等多樣化的社交工程手法。Heatstroke操作者鎖定受害者的私人郵件地址,尤其是免費信箱,其中包括了科技產業的主管和員工。由於免費信箱安全防護和垃圾郵件過濾機制比較薄弱,而且私人郵件也常被用來驗證社群媒體和電子商務網站,以及作為Gmail和企業帳號的備用帳號。特別是Gmail帳號;取得權限的攻擊者也可以存取受害者的Google雲端硬碟,甚至可能會危及連結帳號的Android裝置。因此,跟防護較高的企業郵件帳號比起來,這些免費郵件帳號是攻擊者偵察及收集目標情報更好的起點。

Heatstroke攻擊鏈


Heatstroke操作者使用下列策略來隱藏自己的踪跡:

  • 多階段網路釣魚攻擊。
    為了避免起疑,攻擊者並不會著急。跟通常只用單一網頁進行的釣魚攻擊比起來,Heatstroke試圖用多階段作法去模仿合法網站,讓目標受害者不會感受到不妥之處。
  • 混淆蹤跡。
    釣魚套件內容是從另一個位置轉發,但會被偽裝成來自登錄頁面。登錄頁面也會不斷變動來繞過內容過濾器。釣魚套件還能夠封鎖IP範圍、爬蟲服務甚至是漏洞掃描程式這類安全工具。如果從攻擊者列入黑名單的位置、瀏覽器、IP地址或國家/地區進行連線,則該網頁不會顯示內容(出現HTTP 404錯誤),或是內容會從其他位置轉發。釣魚套件的第一個網頁是由Base64編碼的PHP腳本產生,來躲避或繞過防火牆。
  • 網路釣魚即服務。
    我們看到了另一團隊購買此套件來進行自己的網路釣魚攻擊。該套件開發者甚至為此團隊分配專屬的API金鑰。顯示出這些攻擊活動包含了客戶、操作者和開發者等角色。
  • 自我感知的釣魚套件。
    釣魚頁面內容會根據使用者/訪客屬性動態產生。網頁原始碼內藏了一篇像是童話的故事。可能是開發者想表明自己知道研究人員會查看他的原始碼。
  • 試圖顯得合法。
    會根據受害者來從該國網域寄送網路釣魚攻擊。在趨勢科技分析的案例裡,用於攻擊的網域曾屬於合法商家但後來被出售。

被偷的帳密會用圖像隱碼術(Steganography)(將資料隱藏或嵌入到圖檔裡)送到特定的郵件地址。我們在研究過程中監測到兩個相似的釣魚套件 – 一個針對Amazon使用者,另一個則會竊取PayPal帳密。

這兩個套件的策略和技術都很類似,不管是託管釣魚套件的網站,所竊取資訊類型或是所用的掩蔽技術。這兩個套件似乎也結束在同一個使用者驗證階段。這些相似處可能代表它們來自相同的地方。這些套件用來攻擊的時間和範圍進一步顯示出它們的相似性,因為都被送給相同的受害者。

Heatstroke感染鏈


在此案例中,感染鍊是動態的,有些行為會根據使用者/行為屬性而變動。底下是我們在研究過程中所觀察到的整體攻擊鏈:

  1. 攻擊者寄出網路釣魚郵件來要求使用者驗證其帳號。電子郵件是從合法網域送出,避免被垃圾郵件過濾器封鎖。
  2. 使用者被要求點入郵件內的按鈕/網址來驗證他在PayPal(和Amazon)上的帳號。根據釣魚套件內的htaccess檔案顯示,攻擊者似乎計劃對eBay、Google、Apple、Firefox、Datasift、Internet.bs及其他服務開發類似的釣魚套件。
  3. 使用者被導到第一階段網站(依使用者而不同)。這網站是用來將受害者導到釣魚套件網站,好讓攻擊者的網路釣魚攻擊繞過內容過濾器。
  4. 第一階段網站會將使用者導到第二階段網站,這是真正的釣魚套件網站。此階段是為了進行驗證。它會檢查使用者是否是機器人、網路爬蟲或Nessus之類的安全工具。還會檢查使用者是否來自某些網路(如FBI的網域),以及使用者IP是否來自黑名單內的IP範圍。
  5. 完成所有的檢查後,使用者會被帶到第三階段網站,真正的網路釣魚網站。網頁內容是用Base64編碼的PHP腳本產生以繞過防火牆。內容也會根據受害者IP地址來進行本地化。
  6. 要求使用者填寫個人資訊,包括了電子郵件帳密、信用卡詳細資訊及其他個人身份資訊(PII)。這些資訊會被編碼嵌入影像檔,然後寄送到攻擊者的郵件地址。攻擊者還會收集使用者所用作業系統的相關資訊。
  7. 使用者填完資訊並按下最後一個按鈕後不會發生任何事情。如果使用者試著再透過相同IP和設定來連上釣魚套件網站,該網站不會載入釣魚套件。

要求使用者用電子郵件地址和密碼驗證其帳號的假網頁

該網頁用PHP腳本動態產生網路釣魚內容。當用瀏覽器檢視它的原始碼時(如圖4所示),會出現一則故事,可能是想跟試圖分析的研究人員開玩笑。

A screenshot of a cell phone

Description automatically generated
顯示異常活動通知的釣魚網頁(左)。它會將使用者導到另一個網頁(右),該網頁會竊取使用者的信用卡資訊

A screenshot of a social media post

Description automatically generated
PHP腳本原始碼(上)。會產生網路釣魚內容來要求信用卡資訊

 

Heatstroke開發者顯然是要採用網路釣魚即服務的商業模式,這代表其他網路犯罪分子可以利用此釣魚套件進行自己的攻擊來竊取PII和付款資訊。我們也預期這類釣魚活動會加入更多躲避偵測及阻止分析的技術,就像是圖像隱碼術(雖然現在尚不完整)和黑名單。使用者和企業應該要提高網路安全意識,特別是在抵禦社交工程郵件威脅方面。

趨勢科技的PC-cillin雲端版Smart Protection SuitesWorry-Free Business Security 可以偵測惡意檔案和垃圾郵件並封鎖相關惡意網址來保護使用者和企業抵禦Heatstroke網路釣魚攻擊。

更多內容請看:Heatstrok網路釣魚攻擊,為何鎖定科技產業員工免費信箱?

資安漫畫 小希和小玲 動

☛小希和小玲的資安大小事人物關係圖

PC-cillin不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用 ,
FB IG Youtube LINE 官網