台灣這上半年來災情頻傳,新冠狀病毒(COVID-19, Coronavirus俗稱武漢肺炎) 的疫情才趨緩,這陣子許多重要機構又陸陸續續的傳出資安災情,像是敏感性資料遭竊並做為「進階持續性滲透攻擊」(以下簡稱 APT 攻擊)的材料,或是系統被癱瘓直接造成營運上的影響…,不論是哪一種資安事故帶來的後果都讓人難以承受。
根據行政院資通安全處的資料顯示,台灣政府單位每個月被攻擊的次數是2,000萬次到4,000萬次,而1年之中攻擊成功的次數也高達360次,平均下來,每天都會遭到10萬次左右的攻擊,且被駭客攻陷1次!
繼續閱讀趨勢科技發現多種專門利用在家上班相關工具的威脅。網路犯罪集團正透過登入憑證網路釣魚(Phishing)網站來誘騙使用者在假冒的電子郵件、協作平台以及網路視訊會議登入畫面上輸入自己的帳號密碼。
駭客們總是利用我們關心時事的心態,設計出與時事相關的詐騙訊息來誘拐人們受騙上當,單就 3月份的統計資料來看,趨勢科技便攔截到高達 897,711 封與 新冠狀病毒(COVID-19,俗稱武漢肺炎) 相關的垃圾郵件,相關的資安事件也開始浮現。 一個成功的企業除了具備拓展版圖的能力外,也需要堅強的保護機制來捍衛自己的城牆,而資安防護即是每一個企業的必要堡壘。
趨勢科技日前舉辦「社交工程攻擊 x 新冠肺炎」線上研討會,與 Trend Micro Phish Insight一起討論如何防範瞬息萬變的駭客攻擊,保護您的組織於無形。當中討論了一些台灣案例,請參考以下影片 。
這麼多年以來,網路犯罪集團仍然非常積極地發動登入憑證網路釣魚攻擊。根據趨勢科技 2019 年 Cloud App Security 報告指出,使用未知網路釣魚連結的登入憑證網路釣魚嘗試攻擊數量從 2018 至 2019 年增加了 35%。這或許意味著,歹徒仍持續不斷在製造新的網路釣魚連結以躲避資安軟體的偵測。此外,趨勢科技 Cloud App Security™ 所偵測並攔截的登入憑證網路釣魚攻擊數量亦成長 59%,從 2018 下半年的 150 萬成長至 2019 上半年的 240 萬。
[相關文章:The Rising Tide of Credential Phishing]
以下我們分析企業實施在家上班政策所需的一些工具:網頁版 Outlook (之前稱為 Outlook Web Access) 與其他 Office 365 應用程式 (如 SharePoint),以及視訊會議軟體 WebEx 和 Zoom。
繼續閱讀變臉詐騙集團正開始跳脫傳統的企業受害目標,轉而以宗教、教 育 和非營利 等機構為目標。此外,政府機關 也是歹徒經常攻擊的目標。
變臉詐騙嘗試攻擊最常鎖定的前五大目標職務當中也包括了教授和會計師。 不過執行長 (CEO) 更是絕大多數變臉詐騙假冒的對象。
變臉詐騙,包括:執行長詐騙、假發票詐騙、盜取帳號等等,都是一種仰賴社交工程技巧來促使受害機構 員工提供敏感資訊或將款項匯出的一種網路犯罪型態。根據美國聯邦調查局 (FBI) 網際網路犯罪申訴中心 (Internet Crime Complaint Center,簡稱 IC3) 指出,變臉詐騙已成為網路犯罪集團獲利最豐厚的一種犯罪形 態,光 2019 年,變臉詐騙集團就在全球詐騙了將近 18 億美元。
根據我們 2019 年所觀察到的趨勢顯示,變臉詐騙集團正開始跳脫傳統的企業受害目標,轉而以宗教、教 育和非營利等機構為目標。此外,政府機關 也是歹徒經常攻擊的目標。
雖然 2019 年網路釣魚活動的整體數量減少,但2019 年已攔截的 Office 365 非重複網路釣魚網址數量較前一年翻了一倍。
2019 年網路釣魚犯罪集團所使用的一些進階手法,使其越來越真假難辨 ,比如:
1. 登入憑證釣魚技巧
2.破解雙重認證機制的網路釣魚技巧
3.將網路釣魚連結插入搜尋結果當中
4.自訂「404 Not Found」 錯誤訊息頁面,發動網路釣魚攻擊
根據趨勢科技最新的「網路資安風險指標」(Cyber Risk Index) 研究指出,網路釣魚是企業 2019 年最大的威脅, 這項研究調查了美國境內上千家企業機構。儘管去年仍有不少網路釣魚詐騙,但我們偵測到的活動數量已較前一年減少。
2019 年已攔截的網路釣魚網址存取次數較 2018 年減少 28%,原本可能受到網路釣魚網站危 害的使用者數量也因而減少。此外,已攔截的非重複用戶端 IP 存取網路釣魚網址的次數也較前一年減少 38%。這類威脅偵測的數量之所以減少,或許還有一個因素是一些新型態訊息平台 (如 Slack) 的企業用戶日漸成長,而這些平台已取代了電子郵件。
雖然網路釣魚活動的整體數量減少,但假冒 Microsoft Office 365 (尤其是 Outlook) 的網址數量卻持續增加。2019 年已攔截的 Office 365 非重複網路釣魚網址數量較前一年翻了一倍。
Office 365 的普及率已使得其每月活躍使用者數量在 10 月份突破 2 億大關,這也是為何它一直成為網路犯罪集團覬覦的主要目標。Office 365 帳號對歹徒之所以有價值還有另一個原因,那就是用來散發垃圾郵件。網路犯罪集團看上的是 Microsoft 的電子郵件平台,包含 Hotmail、Live Mail 及 MSN Mail,因為
Microsoft 電子郵件服務的郵件地址較容易被列在白名單內,對資安軟體來說也比較難以阻擋。此外,網路犯罪集團只要駭入一個 Office 365 帳號,就能對企業機構內部進行網路釣魚攻擊,完全不必再偽造電子郵件地址,這樣的攻擊讓企業更難防範。
網路犯罪集團的技巧一直在不斷精進,其偽造的電子郵件越來越真假難辨,使得電子郵件與手機簡訊的 收件人更容易上當。這一點,從 2019 年網路釣魚犯罪集團所使用的一些進階手法就能看出端倪。
趨勢科技在 4 月份披露了一起採用一種最新登入憑證釣魚技巧的攻擊行動,歹徒使用的是 SingleFile 這個 Google Chrome 和 Mozilla Firefox 皆支援的網頁延伸功能元件。歹徒利用這個延伸功能元件來產生與原始登入網頁一模一樣的頁面讓使用者輸入登入憑證,進而加以竊取。
此外,我們也觀察到一種可破解雙重認證機制的網路釣魚技巧,它基本上是破解了一次性密碼 (OTP) 的 機制。2019 年,這個手法在日本相當流行,主要攻擊目標是網路銀行用戶。歹徒所發送的網路釣魚郵件或簡訊會將使用者帶往冒牌的網路銀行登入頁面。使用者一旦在該頁面上輸入自己的登入憑證,歹徒就將使用者的登入憑證拿到網路銀行真正的登入頁面同步登入使用者的網路帳戶。此時,網路銀行會產生一次 性的密碼來確認使用者的身分。當使用者收到一次性密碼之後,會將該密碼輸入假冒的登入畫面,此時歹徒就會得到密碼,並拿去輸入到真正的登入畫面當中,如此就成功駭入使用者的銀行帳戶。
網路犯罪集團也成功利用類似方法來攔截使用者的網頁搜尋,將網路釣魚連結插入搜尋結果當中。2019 年,歹徒利用遭到操作的 Google 的搜尋結果,讓受害者不小心誤入網路釣魚網頁。此方法要能得逞,歹 徒首先要重導網頁流量,將正牌網站的流量導向他們製作的網站,讓這些網站登上某些關鍵字在 Google 的 熱搜排行。接著,歹徒發送含有這類 Google 熱搜網站連結的電子郵件。當受害者點選這類 Google 熱搜排 行連結時,就會先連上歹徒架設的網站,然後再前往最後的網路釣魚網站。
另一個在去年值得關注的網路釣魚技巧是利用自訂的「404 Not Found」(網頁找不到) 錯誤訊息頁面來發動攻擊。歹徒並非單純地製作一個網路釣魚網站,然後將受害者導向這個網站,而是先註冊一個網域,然後設定一個自訂的 404 Not Found 錯誤訊息頁面,讓這個頁面假冒成登入畫面。有了這麼一個自訂的 404 Not Found 錯誤訊息頁面,歹徒就能將網路釣魚攻擊全都導向這個網域而沒有數量限制。
欲索取中文版完整報告,請至趨勢科技粉絲專頁,私訊小編,留言:我要索取2019年度資安報告
▎每月7 日下午 4 點 , 趨勢科技 IG 帳號,Fun 送粉絲獨享禮 ▎
) 快進來看看 
趨勢科技最近追查到一種利用 Facebook Messenger 傳播的新冠狀病毒(COVID-19,俗稱武漢肺炎)新型詐騙與網路釣魚手法。聲稱防疫期間可以免費看Netflix 影片兩個月,用戶一旦點選其中的短網址:「h**ps://bit.ly/34phlJE」後會被導引至一個冒牌的 Netflix 網頁 , 並擷取受害者的 Facebook 登入憑證,然後訂閱 Facebook 內某個名為「NeTflix」的應用程式。
過程中還會出現看似與新冠狀病毒有關的每天洗手次數調查網頁,伴隨著假的 Netflix 免費優惠,貌似能填完問卷就能讓你享受防疫在家的追劇時光,不過當使用者回答完問題後,卻會再被要求將連結分享給20位 facebook 好友或5個群組才能順利完成訂閱,使得受害者不知不覺間成為惡意程式的散播者。趨勢科技資深技術顧問簡勝財提醒:「下載應用程式前應該要做到停看聽,先仔細研究應用程式的畫面、內容、功能,以及所要求的權限,同時聽聽其他使用者所留下的評論,此外,也要確保裝置上其他應用程式及作業系統都已經更新到最新版本。對於天外突然飛來的好康,也應抱持謹慎的態度,小心留意來源,千萬不要隨便點擊可疑連結,或將個人帳密等相關資訊提供給未經驗證的網站。」
