標籤: 企業資安

從近期重大攻擊事件,看網路釣魚手法

儘管網路釣魚（Phishing）相對於今日媒體上經常看到的精密攻擊似乎已經過時，但它仍是一項持續不斷的威脅。歹徒依然能夠透過一些新的手法來竊取企業的重要資料、珍貴資產，甚至破壞營運基礎架構。

7月初全球第四大數位貨幣交易所 Bithumb 的一位員工 遭駭，歹徒偷走了一批聯絡人電話、電子郵件地址等等，接著，歹徒利用偷來的資訊發動一波網路釣魚攻擊，但卻使用以往罕見的手法。同樣地，數位貨幣 Ethereum (乙太幣) 的用戶也在同月遭到攻擊。根據報導，駭客藉由網路釣魚手法在短短 6天之內海撈了 70 萬美元。

除了數位貨幣之外，美國能源機構與關鍵基礎架構也遭到持續性網路釣魚攻擊。其嚴重程度甚至引起美國聯邦調查局 (FBI) 和國土安全部 (Homeland Security) 的關注，並發出警告通知各機關嚴加防範。根據 媒體報導，這些網路釣魚電子郵件使用了一項罕見的技巧來蒐集受害者資訊。

趨勢科技為了協助使用者了解並防範這些新的威脅，以下將詳細介紹最近幾次攻擊所用的手法和技巧：

陳年伎倆:語音釣魚,導致南韓數位貨幣交易所損失超過數十億韓元

傳統的網路釣魚詐騙都是假冒知名機構的名義發出電子郵寄，接著，不是誘騙受害者輸入帳號密碼，就是將受害者重導至惡意網站。但前面提到的 Bithumb 攻擊案例卻用了一個陳年的老技巧：語音釣魚 (vishing)。歹徒利用從 Bithumb 員工偷來的資料， 假冒成 Bithumb 高階主管打電話給受害者，謊稱受害者的帳戶遭駭客入侵，要求受害者提供密碼和其他重要的帳戶安全資訊。根據媒體報導，受害者損失超過數十億韓元  (該交易所位於南韓)。

語音釣魚不像網路釣魚那樣大家耳熟能詳，而且它比其他詐騙手法更加仰賴社交工程技巧，因此，歹徒能否得逞全看他是否露出破綻，是否能完全掌控受害者的心理。在該案例中，歹徒從 Bithumb 偷到的資訊或許是他們的成功關鍵，因為歹徒在撥打電話時，已明確掌握受害者帳戶的詳細資訊，因此會讓人覺得相當可信，且不易露出破綻。

小眾網路論壇釣大魚: 假冒論壇管理員名義，通知論壇成員檢查自己的帳戶,騙帳號密碼 繼續閱讀

太多人太熱衷於分享過多但不必要的敏感資訊，而這些敏感資訊就像是給攻擊者的寶藏

從線上交友網站個人檔案收集到的企業資訊數量，高得嚇人。有些交友網站需要連接 Facebook 帳戶才能使用，有些則只需要電子郵件地址即可設立帳戶。以 Tinder 為例，它會在未經使用者認可的情況下，擷取使用者在 Facebook 上的資訊，然後顯示在 Tinder 的使用者資料上。這些資訊在 Facebook 上有可能是設定為私密資料，卻就這樣曝露在其他使用者、惡意攻擊者等人的眼前。

線上交友軟體透露過多的敏感資訊,也提供攻擊者素材

現在有越來越多的人使用線上交友尋找對象，但線上交友會對企業造成威脅嗎？使用者本身透露的資訊種類及資訊量，例如個人資料、工作場所、經常前往與居住的地點等，對於尋找對象的人而言是很有用的資訊，但同時攻擊者也會利用這些資訊，做為入侵組織的起點。

為了證實這項風險，趨勢科技研究了多個線上交友網站，初步包括 先請回答以下問題：

• 假定有一個已知的目標 (例如公司高層主管、IT 部門主管、公職人員)，是否有可能找到他們在交友網站上的相應帳戶 (假設他們有這樣的帳戶)？
• 針對線上交友網站上的特定帳戶，是否有可能追蹤到他們在其他社群網站的資料，例如 Facebook、LinkedIn 或企業網頁？

不幸的是，以上答案皆為「是」。

Honeyprofile	誘騙用個人檔案
Profile matching (physical attributes, job information, tec.)	個人檔案匹配 (外表特徵、工作資訊等)
Location profiling	地點分析
Target’s real-word social media profile	目標現實生活的社群媒體個人檔案
Open Source Intelligence profiling	公開來源情報分析
Target’s only dating network profile	目標的線上交友網站個人檔案

圖 1 我們如何追蹤可能目標的線上交友及現實生活/社群媒體個人檔案

 

駭客也可在線上交友網站,找到特定個人檔案之外的相應身分

在幾乎所有的線上交友網站上，我們發現如果要尋找一個已知在該網站註冊的目標，是非常容易的事。這並沒有什麼好奇怪的，因為線上交友網站可讓使用者運用各種條件來過濾對象，例如年齡、地點、教育程度、職業、薪資，當然還有外表特徵，例如身高與髮色，除了 Grindr 之外，因為此網站要求提供的個人資訊較少。

地點是非常有用的資訊，因為利用 Android 模擬器，可將 GPS 位置設定在地球上的任何地方，將所在地點設定在目標企業的地址，然後將匹配對象的半徑範圍盡可能縮小。

相反的，我們可以透過典型的公開來源情報 (OSINT) 分析，找到特定個人檔案在線上交友網站之外的相應身分。同樣的，這一點也不讓人感到驚訝，許多人太熱衷於分享過多但不必要的敏感資訊，而這些敏感資訊就像是給攻擊者的寶藏。其實有份研究指出，運用手機上的交友應用程式進行三角測量，就能找到持有人的實際所在位置。

在找到目標的位置並連結目標的真實身分後，攻擊者要做的只剩下利用這些管道。我們對此進行測試，在我們的測試帳戶之間傳送內含已知惡意網站連結的訊息，而這些訊息都正常地發送出去，未被標記為惡意訊息。

只要利用一點社交工程，很容易就能欺騙使用者點擊連結。攻擊者發送的連結可能是常見的網路釣魚網站，例如偽裝的交友應用程式或網站，如果受害者的密碼在多處重複使用，攻擊者就能侵入個人的生活圈。攻擊者也可能使用攻擊套件，但大多數人是在手機上使用交友應用程式，因此入侵難度較高。一旦成功入侵目標，攻擊者可嘗試劫持更多電腦，最終入侵受害者的工作及其企業網路。

接受交友就會被鎖定攻擊？

這種攻擊理論上可行，但實際上真的有發生過嗎？是的，真的有。今年初發生在以色列軍隊的鎖定攻擊，就是利用社群網站的個人檔案做為攻擊進入點。網路愛情詐騙不是什麼新鮮事，但線上交友網站上究竟發生過多少類似事件？

我們用假帳戶設立「誘騙用個人檔案」以進一步探索。將研究範圍縮小至 Tinder、Plenty of Fish、OKCupid 以及 Jdate，選擇這些網站的理由，是根據顯示的個人資訊量、互動的方式，以及無需支付初始費用。

然後，我們建立涵蓋不同地區及產業領域的個人檔案。大多數交友應用程式會限制搜尋區域，而且對象必須也接受你或給你按「讚」才能進行匹配，這表示我們也必須給真人持有的個人檔案按「讚」。於是就出現了一些有趣的情況：我們晚上在家陪伴家人時，得給搜尋範圍內每個新出現的個人檔案按「讚」(是的，我們的配偶都能諒解)。

我們也為研究訂定了幾項規則，就是不輕易答應交往，但保持開放交友心態：

• 不率先連絡對方
• 僅回應特定訊息 (以確認對方是否為真人，或只是傳送惡意連結)
• 嘗試加快對話的速度；在一開始就提供對方良性社群網站的連結，讓攻擊者更容易在回覆中提供惡意連結
• 嘗試成為被鎖定的目標；不要鎖定任何人或以網路釣魚方式攻擊任何人

以下是我們收到的訊息範例： 繼續閱讀