美國奧勒岡州 DHS 遭遇網路釣魚攻擊
美國奧勒岡州的 Department of Human Services (DHS) 近期對外公告,有超過 35 萬名客戶的健康資訊遭到曝光。經奧勒岡州 DHS 資安團隊調查發現,研判資料外洩的起因是:有九名員工點擊了網路釣魚 URL,使員工的電子郵件帳戶資訊與信箱遭到入侵。
〔延伸閱讀: 變臉詐騙(BEC)將深入基層職員,員工沒看穿的騙局,造成的損失可能比病毒還大! 〕
據新聞稿指出,奧勒岡州 DHS 員工是在 2019 年 1 月 8 日收到魚叉式網路釣魚的電子郵件,而遭到入侵的信箱內據說有將近 200 萬封電子郵件。直到 1 月 28 日,才確定有客戶的個人健康資訊或受保護的健康資訊 (PHI) 遭到未經授權人士的存取。奧勒岡州 DHS 表示,雖然他們阻止了更進一步對入侵信箱的未授權存取,但卻無法證實是否有任何 PHI 遭到竊取或濫用。
客戶遭外洩的 PHI 屬於健康保險隱私及責任法案 (HIPAA) 的保護範圍,此外,該事件依奧勒岡州身分竊取保護法 (Identity Theft Protection Act) 亦屬違法。該資料外洩中可能遭到入侵的資訊包括下列項目:姓氏和名字、地址、生日、社會安全碼、個案編號,以及其他用於管理 DHS 計畫的資訊。
網路罪犯為了入侵電子郵件帳戶及各種其他服務,使用越來越多樣化的方式來發動網路釣魚攻擊。美國特勤局在 1 月分享了可能連結到加密文件的魚叉式網路釣魚電子郵件相關資訊。使用者點擊 URL 時,會出現假的 Office 365 登入要求表單,要求其輸入電子郵件帳戶憑證。使用者一旦採信,網路罪犯便能取得其電子郵件帳戶的存取權。
繼續閱讀
