《病毒30演變史》「一封郵件騙走一棟房子」老闆,別再成詐騙集團金雞母 ! 2018年趨勢科技首創 AI 技術防禦BEC 詐騙

趨勢科技成立之初,當年出現的病毒,是靠磁碟片傳播的
今年(2018年)趨勢科技成立滿 30 年,我們一同回顧 30年病毒/資安威脅演變史。
本篇來到 2013年開始興起的 BEC 電子郵件詐騙,及趨勢科技如何使用人工智慧 (AI) 及機器學習來防禦這類詐騙

 

2017年 10 月新竹一間長期與中國代工廠合作的科技公司,原本都用對方「xxx@ximhan.net」信箱聯絡,沒想到歹徒另創立名稱相似的「xxx@xlmhan.net」假帳號,以定期更換受款帳戶,以免遭洗錢犯罪利用為由,要求更改受款帳戶。該公司不疑有他,一時眼花, i 跟 l 分不清,損失新台幣2千餘萬元!這是變臉詐騙攻擊或稱為商務電子郵件入侵(Business Email Compromise 簡稱 BEC) 常用的手法。一封郵件騙走一棟房子 一點都不誇張。

刑事局受理的 BEC 詐騙案件,到今(2018)年 10月5日為止,已有 45 件,平均算起來,大約每周都會有一家臺灣企業遇害報案,而遭到詐騙的金額更是已經超過2億元。

美國南俄勒岡大學在 201 7年 4 月底因BEC 詐騙轉帳損失190萬美元。他們以為轉帳對象是負責建設學生娛樂中心的建築公司。但該公司從未收到過該款項
原因是騙子冒充既定廠商,向大學財務處發送支付帳戶變更通知郵件

趨勢科技看過各種 BEC 詐騙手法,包含用”採購訂單”當網路釣魚檔名;網路釣魚執行檔易被起疑心, 改用 HTML 附件讓你上鉤!;2017年男大生認罪, 利用 Limitless鍵盤側錄程式危駭數千企業! 趨勢科技FTR 團隊協助逮捕;

FBI 報告:全球變臉詐騙 (BEC) 損失金額已超過 120 億美元

繼續閱讀

保護 IT 與 OT 的整合

工業物聯網(IIoT)是營運技術(OT)與資訊技術(IT)整合的開始。這些技術的整合始於網路連結,但也需要操作程序、技術及訓練方面的增強。

IT 和 OT 從網路方面就使用著不同的協定。在 O T世界中,廠商在過去50幾年來制定了許多專有協定:MODBUS 的歷史可以追溯到1969年。光是ABB就有超過20種的協定。IIoT廠商提供閘道,好在資料轉移到IT雲進行整合和處理前先加以簡化及轉換。這樣的資料量可能很大,因此IIoT閘道透過壓縮、整合和例外處理報告來最小化網路流量。閘道是前端的處理器。

IT和OT環境的作業流程不同。OT網路的指導原則有兩個:安全性和服務可靠性。但IT資訊安全的原則是資料可用性、資料完整性和資料機密性。這些原則彼此之間並無交集。從IT的角度來看,工業流程並不是“資訊”,因此不屬於資訊安全範圍。

IT和OT流程隨著各自發展而可以整合。DevOps打破了開發和營運間的藩籬,能夠更快速地部署新功能而不會影響到軟體的質量控制。圖1顯示了整合的DevOps流程:

圖1:整合的 DevOps 流程

繼續閱讀

比賠錢的交易更虧! 虛擬貨幣交易所的9個資安風險

有鑑於 虛擬貨幣的價值和重要性突然飆升,網路犯罪集團已開始想辦法利用這波趨勢來開拓額外賺錢途徑。其中最常見的犯罪手法是利用虛擬貨幣挖礦惡意程式,而且這儼然已逐漸取代了勒索病毒。不過,加密貨幣挖礦程式並非唯一威脅,網路犯罪集團已開發出各種不同工具和技巧,來詐騙加密貨幣交易所的使用者,竊取其貨幣和個人資訊。

虛擬加密貨幣交易所是投資人買賣虛擬貨幣 (如比特幣Bitcoin)、以太幣等等) 的平台,例如 Binance、Bitfinex、Kucoin 和 Bittrex 都是。由於交易所在數位貨幣交易過程當中擔任的是「仲介」的角色,因此也是歹徒最常攻擊的目標之一,包括直接駭入交易所,或者假冒這類交易平台。除此之外,網路犯罪集團也經常利用投資人渴望致富的心理,針對加密貨幣投資人推出一些所謂的「輔助」工具,但其實是惡意程式。

賠錢的交易或許會造成投資人損失,但本文將討論的9種網路犯罪風險,甚至會讓原本賺錢的投資人血本無歸。

1.     網路釣魚

目前,這類交易平台相關的網路釣魚手法相當常見。因為,歹徒只要能夠騙到使用者的帳號登入憑證,就等於意味著獲利。歹徒經常使用的一種詐騙手法就是,利用看似很像的網域名稱或網站來假冒虛擬加密貨幣交易平台,讓使用者誤以為自己連上的是官方網站,進而提供自己的帳號登入憑證。在這些攻擊當中,歹徒會利用網路釣魚郵件將使用者導向假冒網站。

另一種攻擊方式是,歹徒會使用國際化網域名稱 (Internationalized Domain Name,簡稱 IDN) 來註冊網路釣魚網站的網域名稱。這些 IDN 名稱會刻意取得跟其假冒的對象很像。

如上圖,乍看之下,左邊假冒網站的網址和右邊原始網站的網址很像,甚至還支援 HTTPS 安全連線。但如果細看就會發現,假冒的「yobit.net」網域名稱的第二個字母是「õ」而不是「o」。使用者如果沒有特別留意,很可能就會以為自己正在登入該交易所的官方網站。

2.     交易平台遭駭

交易平台如果不幸遭到駭客入侵,其客戶帳上的貨幣通常都會因而遭殃。今年稍早,東京 Coincheck 交易所即遭遇虛擬加密貨幣有史以來最大一樁駭客事件,損失了超過 5 億美元的虛擬加密貨幣。而駭客除了竊取貨幣之外,還可能竊取交易平台程式開發介面 (API) 的金鑰。歹徒可利用這些金鑰來開發機器人程式,進而提領使用者帳上的貨幣或偷偷執行買賣。

3.     註冊表單遭駭入

繼續閱讀

沒有惡意程式,不綁架檔案,一封信竟騙走一棟房子!

BEC詐騙有別於一般電子郵件所散播的勒索病毒和其他須仰賴惡意程式的攻擊,歹徒在詐騙過程完全不需使用惡意程式, 這些員工沒看穿的騙局,造成的損失可能比病毒還大!
前陣子美國洛杉磯的一位男子將非法取得的律師電子郵件帳號提供給其共犯使用,歹徒假冒該律師發送電子郵件給房地產交易的買方,詐騙超過千萬台幣。一封信,騙走一棟房子,一點都不誇張。

唯一的防範之道看似受害者的當下的判斷, 還好趨勢科技隨時都在開發新的機器學習(ML) 演算法來檢驗大量的資料並預測一些未知的檔案為惡性或良性,以具備人工智慧 (AI) 的資安技術防範使用者遭到電子郵件攻擊。

電子郵件帳號遭駭是今日連網世界當中經常發生的問題。網路犯罪集團駭入使用者電子郵件帳號的目的,是為了滲透企業 IT 環境,進而從事各種攻擊,包括各種詐騙、資訊竊盜、身分冒用等等。使用者若無有效的安全措施來防範電子郵件帳號遭到駭入,很可能將蒙受嚴重的損失。

電子郵件遭駭是各產業普遍的現象

電子郵件遭駭在全球各產業都相當普遍。專門從事政治相關攻擊的網路間諜集團 Fancy Bear 據報曾在今年稍早的美國參議員重新選舉期間使用登入憑證網路釣魚攻擊。Fancy Bear 集團從 2015 年起便經常登上新聞版面,目標鎖定美國、烏克蘭、法國、德國、蒙特內哥羅和土耳其等國的政治機關。

這幾年來,醫療產業已成為網路犯罪集團的熱門目標,包括波特蘭德州田納西紐澤西以及其他地區都受到影響。這些醫療機構都因電子郵件帳號遭歹徒駭入並用來詐騙,進而導致資料外洩。

這類攻擊也蔓延到教育產業。今年 5 月,美國紐約州立大學水牛城分校 (University at Buffalo,簡稱 UB) 發出一份聲明表示遭到駭客攻擊,有不明數量的學生、行政人員、教授及校友的電子郵件帳號遭到駭入。在亞洲,新加坡國立大學 (National University of Singapore,簡稱 NUS) 在今年 7 月也警告全校教職員和學生小心來自某些已遭駭 NUS 帳號的網路釣魚攻擊。這些電子郵件當中含有惡意連結,指向會誘騙收件人提供帳號登入憑證的網站。 繼續閱讀