社交工程信件 - 資安趨勢部落格

< APT 攻擊 >鎖定中小企業變更供應商詐騙：歹徒如何利用35美元惡意軟體賺黑心百萬?

2015 年 07 月 21 日2015 年 07 月 24 日趨勢科技 TrendMicro

nfo@貴公司名字.com.tw
sales@貴公司名字.com.tw ….
中小業主請小心!!「官方」對外信箱內的社交工程郵件陷阱

在趨勢科技最新的研究 – 深入HawkEye(鷹眼)裡，發現了各種網路犯罪分子利用監控受害者信箱所收集來的資訊以從企業竊取金錢的方法。其中的一個例子 – 「變更供應商」是當中最值得注意的，因為這類騙局可以為網路犯罪分子賺得數百萬美元。本文詳細介紹這種騙局，以及為什麼它會對中小型企業和使用者造成很大的威脅。

步驟一:選擇官方服務信箱成為犯罪目標

根據趨勢科技對此種騙局的監視顯示出它比一般攻擊要更加具有針對性也更加計畫長遠。網路犯罪分子在部署攻擊時往往是用「亂槍打鳥法」 – 將特製的電子郵件寄送到名單上的所有人（可能跟其他網路犯罪分子買來）。但我們在這此案例中所看到的則大不相同，這些網路犯罪分子專門針對中小型企業的公開電子郵件地址。我們的資料顯示出這些都是「官方」公司郵件地址，格式通常為info@companyname.com或sales@companyname.com。

圖1、目標郵件地址的類型

這是一種有趣的策略，因為公司的官方郵件地址通常用來接收來自未知寄件者的郵件，這就讓網路犯罪分子佔了一些好處。如果管理郵件帳號的團隊不夠精明到能夠識別社交工程郵件，就很有可能會打開這些網路犯罪分子所送來的郵件。

繼續閱讀

< APT 攻擊 >駭客比你同事還了解你?!社交工程信件主旨總整理

2015 年 07 月 09 日2024 年 09 月 23 日趨勢科技 TrendMicro

APT攻擊鎖定目標對象會被誤導去相信電子郵件的來源和內容真實無誤，進而受騙和在無意中將進階惡意軟體安裝到他們的電腦上，從而成為攻擊者在網路內的灘頭堡。從這一刻開始，攻擊者可能會取得敏感的客戶資料、商業秘密或無價的知識產權。

APT攻擊是今日企業所面臨的最大威脅之一。進階的攻擊工具包、基礎設施以及隨時在線上待命的專業能力；加上傳統的安全防禦並無法偵測未曾見過的威脅，都將攻擊的風險推到前所未有的高度。高知名度的攻擊事件，像是零售商Target和百貨公司Neiman Marcus的大量資料外洩事件都提醒了IT和業務主管相關危險。

攻擊者:電子郵件是阻力最小的攻擊路徑

根據趨勢科技TrendLabs的研究，有91％的 APT攻擊利用電子郵件作為開始的進入點。此外，Ponemon的研究表示有78％的針對性電子郵件攻擊利用嵌入在附件的惡意軟體。根據這幾點，攻擊者顯然認為電子郵件是阻力最小的攻擊路徑，可以用來避開現有的安全防禦，進而從你的網路外洩資料。
【延伸閱讀】69％的人每週都碰到網路釣魚,25% 高階員工被釣得逞

有案例顯示歹徒攔截中小企業和客戶之間的通訊，並捏造付款帳號資訊。再從受駭企業的公司信箱發電子郵件給客戶，告知客戶其接受付款的帳戶已經換成歹徒所持有的帳戶。過去即曾有歹徒利用Predator Pain 和 Limitless 這兩個鍵盤側錄程式，來從事「供應商資訊變更」詐騙，獲利高達約22億新台幣！(請參考)

一封假冒銀行交易的信件,導致南韓爆發史上最大駭客攻擊,根據趨勢科技統計，一般員工平均每個工作日會收到100封電子郵件，等於我們每天有100次掉進駭客陷阱的風險。先做個測試,以下這些信件主旨,有幾個你會不疑有他的打開?

駭客跟你一起關心熱門新聞?!熱門新聞被駭主旨一覽:

駭客比你同事還了解你?!鎖定個人被駭主旨一覽:

更改銀行收款帳戶(寄件人:廠商)
員工滿意度調查(寄件人:高階主管)
○○會議名單更新(寄件人:政府部會)
我的履歷表(收件者:人事部門經理)
關於104年中央政府總預算 (寄件者:業務相關部會)
實驗室電話表(寄件者:業務相關部會)
陳情書(寄件者:業務相關部會)
你的帳號將被暫停(寄件人:email系統管理員)
請儘速到我辦公室(寄件人:老闆)
電信帳單(寄件人:知名電信公司)
銀行交易明細(寄件人:某銀行)
*以上寄件人皆為假冒身分

延伸閱讀:針對台灣政府單位的 RTLO技術目標攻擊)

公司如果不能真正解決 APT攻擊電子郵件攻擊的問題，付出的代價並不只是重裝幾次電腦或從經驗中變聰明一點。更嚴重的是一些潛在的影響，包括來自客戶、供應商和股東的訴訟、罰款、收入損失和削弱品牌價值。根據Ponemon的研究計算出一次APT攻擊的平均成本是嚇人的580萬美元也就不令人驚訝了，光是從 EMC和 Target事件所看到的成本就是10倍以上了。

原因是，APT攻擊通常會先充分研究過並以相關的電子郵件形式出現(請參考:服貿議題成社交工程信件誘餌!! 及針對台灣政府單位的 RTLO技術目標攻擊)，其中包含惡意電子郵件附加檔案或網址來合成引誘收件者打開的內容。他們會被誤導去相信電子郵件的來源和內容真實無誤，進而受騙和在無意中將進階惡意軟體安裝到他們的電腦上，從而成為攻擊者在網路內的灘頭堡。從這一刻開始，攻擊者可能會取得敏感的客戶資料、商業秘密或無價的知識產權。

對組織來說，關鍵是讓攻擊者無法輕易地去侵入公司網路，不要讓電子郵件被當作切入點。繼續閱讀

《資料圖表》員工信箱是 APT 目標攻擊最佳掩護攻擊的進入點

2014 年 09 月 01 日2014 年 09 月 01 日趨勢科技 TrendMicro

惡意威脅份子會對企業和組織進行間諜和破壞活動。經過足夠的研究後，惡意威脅份子可以製造社交工程陷阱( Social Engineering)誘餌來騙得足夠多的員工點入連結或打開附加檔案。電子郵件是目標攻擊最常使用的進入點

•每天的電子郵件流量有超過60%屬於企業用途

•一般企業員工平均每天會寄送41封和接收100封的電子郵件。

•收到的郵件中有16%是垃圾郵件

點圖片可放大

攻擊者會假造內容讓它符合時事且更具有說服力

•攻擊者利用常見網頁郵件服務（如Yahoo!、Gmail等等）的帳號和之前所入侵獲得的帳號來寄送電子郵件

•在RSA受到的攻擊中，送給員工的電子郵件中有主旨為：「 Recruitment Plan（聘僱計畫）」

•攻擊者偽造來自特定部門或目標辦公室內高階主管的電子郵件

•攻擊者假造附加檔案名稱來變得更符和時事，更有說服力

•在Nitro攻擊活動中，電子郵件偽裝成來自目標公司的資訊部門

•一封送至印度目標的電子郵件偽稱含有印度彈道導彈防禦計畫的資料

企業需要更大規模的多層次安全解決方案來讓網路管理者可以深入了解並掌控整體網路的全貌，以降低目標攻擊的危險性，不管它會利用什麼設備或是入侵點。

＠原文出處：https://www.trendmicro.com/cloud-content/us/images/business/ig_targeted-attacks-via-employee-inboxes-infographic.jpg

趨勢科技協助偵破駭客假冒健保局,盜取萬筆中小企業個資案件

2013 年 05 月 27 日2013 年 07 月 04 日趨勢科技 TrendMicro

一萬多中小企業遭受email 攻擊受害 請下載免費清除工具確保個資安全

【2013年5月26日 台北訊】刑事局今日宣佈偵破駭客四月底冒用健保局北區業務組名義進行目標性攻擊竊取個資一案，雲端資訊安全廠商趨勢科技運用獨特的客製化分析技術，成功偵測導致一萬多筆中小企業個資外洩的的惡意木馬程式TROJ_GHOST.ZZXX與後門程式BKDR_GHOST.ZZXX，協助辦案人員抽絲剝繭，緝查不法之徒。

趨勢科技發現，駭客係假冒健保局名義發動客製化的社交工程陷阱( Social Engineering)攻擊，首先透過發送大量以健保局北區業務組為名寄送的郵件，其中內含「員工修正補充要點下載修正」的連結，一旦點選此連結將被轉址至另一個網址並自動下載一個名為「二代健保補充保險費扣繳辦法說明」的RAR壓縮檔。

圖一、 駭客針對特定中小企業發動客製化社交郵件工程攻擊。

受害者一旦點選並下載檔案後，將會看到一個看似為DOC檔實際上為執行檔的檔案；下載執行後，電腦將被植入木馬程式與後門程式，隨後電腦會先遭受強制重開機，即讓使用者電腦門戶洞開，駭客可以遠端監看被害人電腦桌面並瀏覽、複製電腦中檔案內容，進而再利用民眾電腦內通訊錄等資料進行下一波針對性攻擊，如法炮製成功盜取了高達1萬多筆個資。

圖二、解壓縮後發現其為一看似Doc檔的執行檔，

一旦執行後將下載木馬程式與後門程式，造成使用者電腦門戶洞開。

繼續閱讀