企業資安 - 資安趨勢部落格

【2019 年資安預測】不只是企業高層主管，變臉詐騙也將開始鎖定一般員工 (6-5)

2019 年 01 月 10 日2019 年 01 月 17 日趨勢科技 TrendMicro

一封假冒的電子郵件竟讓一名受害者將 531,981 美元匯到詐騙帳戶!
今年初,媒體揭露中國駭客集團山寨一家印度公司CEO電郵,，安排一系列的網路語音會議，洽談中方有意收購的「極機密」事件，竟得手13億盧比（約台幣5億元）,受害公司自去年11月單週內3次轉帳到香港銀行，到了第4次才察覺有異。
截至 2018 年為止，全球因變臉詐騙 (BEC) 所損失之金額已超過 120 億美元。為了掌握詐騙集團的最新情況，我們回顧了今年一些最值得注意且讓變臉詐騙經常占據媒體版面的事件和趨勢。

變臉詐騙攻擊或稱為商務電子郵件入侵BEC)之所以屢屢能讓受害者上當，大多可歸因於人員的疏忽。人性的弱點，再加上詐騙郵件似乎總能夠躲過網路資安產品的偵測，使得變臉詐騙成為一項使用者和企業仍應嚴肅看待的持續威脅。

根據美國聯邦調查局 (FBI) 的統計，這類詐騙截至 2018 年為止已累計造成125 億美元的損失。這表示變臉詐騙儘管技巧上相當單純，事實上卻非常有效。2018 年我們一直在持續追蹤變臉詐騙的嘗試攻擊案例，從第一季至第三季共偵測到 9,291 次變臉詐騙嘗試攻擊，這數字較去年同期的 6,342 次增加了 46%。根據我們的資料，美國、澳洲和英國是詐騙集團最常攻擊的前三大國家。

2018 年前三季變臉詐騙(BEC)較 2017 年成長 46%,房地產業成鎖定目標

2018 年前三季偵測到 9,291 次變臉詐騙攻擊嘗試，較 2017 年成長 46%

有別於一些仰賴高深技術的手法，變臉詐騙利用的是社交工程伎倆與人性的弱點。雖然，隨著科技服務日益普及，變臉詐騙集團也開始假冒 Microsoft 和 Amazon 的名義來從事詐騙，但他們仍舊經常冒充企業高層主管來促使財務部門將款項匯到詐騙帳戶。2018 年，根據趨勢科技 Smart Protection Network™ 全球威脅情報網的資料顯示，執行長 (CEO) 和董事總經理/董事 (Managing Director/Director) 是歹徒最常冒充的高階主管。

為了掌握詐騙集團的最新情況，我們回顧了今年一些最值得注意且讓變臉詐騙經常占據媒體版面的事件和趨勢。繼續閱讀

【2019 年資安預測】員工在家上班,將為企業帶來那些資安風險?(6-2)

2019 年 01 月 03 日2019 年 01 月 09 日趨勢科技 TrendMicro

趨勢科技對 2019 年的資安預測是根據我們內部研究專家對當前與新興科技、使用者行為、市場潮流以及這些因素對威脅情勢的影響所做的分析。我們考量其主要影響範圍以及科技與政治變革的擴散特性，將這些預測分成幾大領域,分期刊出。

即使是最小的裝置也可能成為企業最大的安全漏洞。為何？個人自備裝置 (BYOD) 的出現，讓企業因而敞開大門，各種威脅得以經由員工疏失所造成的網路漏洞進入企業。所謂的 BYOD 就是員工攜帶個人裝
置進入公司網路。這是 IT 消費化的潮流之一，在此潮流之下，將有更多新的消費性資訊技術進入企業環境。

員工家中連上網際網路的裝置，出乎意料地將成為歹徒駭入企業網路的最新途徑

遠距工作的崛起：當員工從家中透過雲端應用程式或協同作業軟體來聊天、開視訊會議以及分享檔案時，企業將更難掌握資料的流向。
越來越多智慧裝置進入家庭：而且因為工作方便的關係，員工也將在工作中使用這些裝置，造成公私不分的情況。

以上兩大趨勢令人意想不到,但卻無可避免的成為歹徒駭入企業網路的最新途徑：趨勢科技的研究人員已經證明，智慧喇叭可能被用來洩漏個人資料。2019 年將出現一些針對性攻擊案例利用智慧喇叭的弱點來從員工家用網路進入企業網路。

繼續閱讀

【資安】舊的威脅還沒解決,新的威脅卻不斷出現?解析四種企業易遭到的攻擊

2018 年 12 月 28 日2018 年 12 月 22 日趨勢科技 TrendMicro

根據趨勢科技託管式偵測及回應 (MDR) 服務的資料顯示，企業最常遭遇的威脅通常能反映出企業的網路資安政策。例如，若企業經常仰賴實體裝置或區域網路共用磁碟來傳輸資料，當然就更容易發生惡意程式大規模感染的情況。因此，企業提升資安的首要步驟之一，就是了解自己為何較容易遭遇某些威脅。

圖 1：各種威脅數量的逐月變化 (4 月至 9 月)。

為了說明企業最常遭遇的威脅如何反映其內部政策，我們研究了趨勢科技 Smart Protection Network™ 全球情報網東南亞地區為期六個月的資料。

我們發現，從 2018 年第二季至第三季，一些舊的威脅依然名列前茅，最常見的是大量散布的惡意程式。在一般人的觀念中，大量散布的惡意程式早已過時，也因此這些偵測數量之龐大有點讓人意料。若從全球情勢來看，企業或許會認為應該將防禦集中在防範全球目前最夯的威脅，例如「無檔案式」惡意程式和虛擬加密貨幣挖礦程式。然而，如果企業因此而部署專為最新威脅而設計的解決方案，反而走錯了方向。

投資網路資安解決方案應考量企業的個別情況。正如研究資料顯示，歹徒並不一定會捨棄舊的手法，他們會視企業的個別弱點而挑選其所用的攻擊手法。

在以下各節當中，我們將說明四種企業容易遭到攻擊的情況，並提出具體的政策建議:

一.未受保護的資料傳輸機制容易散播惡意程式 繼續閱讀

【資安】付錢給勒索病毒,然後攻擊就結束了嗎?

2018 年 12 月 27 日2018 年 12 月 22 日趨勢科技 TrendMicro

對駭客來說，勒索病毒Ransomware (勒索軟體/綁架病毒)就像是一棵搖錢樹,儘管這類型的惡意軟體已經出現多年，但攻擊者仍持續地靠著這個金雞母賺取高額的不義之財。

勒索病毒每天仍影響超過 10 萬台電腦

事實上，根據美國司法部副部長Rod Rosenstein在2017年劍橋網路高峰會的演說，勒索病毒每天影響了超過10萬台電腦。根據 Government Technology的報導，這些攻擊者得逞近10億美元。但錢進去駭客的口袋,加密的檔案未必回得來，也就是說即使受害者依照駭客的要求付了錢也不一定能夠取回資料的控制權。

付還是不付？

當螢幕上出現勒索病毒訊息時，馬上就會有許多問題和需要考慮的點浮現在腦海。比如:

公司要如何繼續維持運作？

使用者該如何存取重要的檔案和資料？

有備份可以讓業務運作馬上回復正常嗎？

而最重要的問題之一，就是要不要支付贖金。

根據 Forbes 的報導，美國聯邦調查局在2016年就密切關注勒索病毒事件的蔓延和嚴重程度，指出受害者不應屈服於駭客要求，也不該支付贖金。正如 Kaspersky Labs的資料證明，支付贖金的受害公司大約有五分之一並沒有收到駭客承諾的解密金鑰。

換句話說，企業付了錢卻沒有取回自己的關鍵應用程式、檔案和資料。

「不幸的是，在大多數勒索病毒攻擊中，失去多年寶貴資料的風險太高，相較起來要求的贖金就顯得很少，讓大多數受害者直接屈服於駭客要求而不會去求助於執法單位，」Forbes的Harold Stark解釋道。

付錢後發生什麼事?

讓我們來看一些真實的勒索病毒案例，以及當受害者付贖金之後發生什麼事。

許多網路攻擊的受害企業並沒有拿到承諾的金鑰

真實案例:有備份的印第安納州醫院在感染 SamSam後,還是付了55,000美元

根據ZDNet的報導，一家印第安納州的醫院Hancock Health在系統感染勒索病毒SamSam後選擇支付55,000美元（當時4比特幣的價值）。儘管員工和使用者馬上就發現並回報，但醫院的IT團隊無法阻止勒索病毒的擴散。

總而言之，幾乎醫院所有的關鍵IT系統都受到病毒影響，無法使用電子郵件、電子病歷系統及其他內部平台。其中包括有1,400多個檔案遭到加密並被重新命名為“I’m sorry“。

在此案例所用的勒索病毒 – SamSam會找尋有弱點的伺服器，並且可以散播到網路內的其他電腦來進行快速而大規模的攻擊。正如ZDNet的Charlie Osborne所指出，駭客會根據SamSam病毒在受害者網路內的散播程度來決定贖金金額。

「這種威脅具備針對性而不只是隨機攻擊，SamSam可以透過Web shell部署、批次處理腳本在多台電腦上進行散播、或是經過遠端存取和建立通道來執行，」Osborne解釋道。

在感染事件發生後，醫院管理員被迫在一周內支付贖金，不然就得承受讓檔案和資料永遠不見的風險。雖然醫院確實有備份（重要的資料安全最佳實作），但還是選擇支付贖金。醫院IT管理員解釋說，雖然可以用備份來回復駭客加密的資料和檔案，但這過程可能需要數天甚至數週。更重要的是，經過將工作轉成手動和紙筆作業後兩天，醫院只想要快速地解決問題。

而這家醫院只是眾多感染 SamSam 病毒的受害者之一，在2018年春天，趨勢科技報導了一起在亞特蘭大市的案例。在此次攻擊中，該市的服務（包括用來繳費或存取法院資料的公眾平台）都無法使用。在這起事件中，駭客要求的代價是解密一台電腦 6,800美元，或支付51,000美元來完全解密。