台灣這上半年來災情頻傳,新冠狀病毒(COVID-19, Coronavirus俗稱武漢肺炎) 的疫情才趨緩,這陣子許多重要機構又陸陸續續的傳出資安災情,像是敏感性資料遭竊並做為「進階持續性滲透攻擊」(以下簡稱 APT 攻擊)的材料,或是系統被癱瘓直接造成營運上的影響…,不論是哪一種資安事故帶來的後果都讓人難以承受。
根據行政院資通安全處的資料顯示,台灣政府單位每個月被攻擊的次數是2,000萬次到4,000萬次,而1年之中攻擊成功的次數也高達360次,平均下來,每天都會遭到10萬次左右的攻擊,且被駭客攻陷1次!
繼續閱讀對許多人來說,聖誕節和新年等節日是購物和花錢的季節。但在網路犯罪分子眼裡則有別的意思 – 他們認為這是進行網路釣魚偷竊個資的黃金季節。請參考 你愛的聖誕禮物,網路釣客也愛~年底十大網路釣魚最愛購物頁面 。
網路釣魚通常是指企圖透過電子郵件、通訊軟體來獲得你個人資訊以竊取你的身份認證。大多數網路釣魚會企圖讓自己看起來像是一般行為,實際上卻是用於犯罪活動。它們看起來就像是來自銀行、信用卡公司、信譽良好的公私立機構的正式通知,通常在訊息中會夾帶惡意連結,引導收件者至看起來與官方極為相似的山寨網站,要求提供帳號密碼等資訊。
網路釣魚(Phishing)的起源可回溯至 1970 年代的飛客 (phreaking) 入侵手法,這種手法利用簡單的兒童玩具哨子就能非法使用電話系統,至今依然惡名昭彰。網路釣魚延續了電話飛客手法的傳統,同樣都是爲獲取實質利益而將專業技術用於不正當的用途。相關報導
一封假冒 Facebook 安全中心:“12 小時內不驗證帳號,將被永久停權”訊息“受害人重登入遭盜刷!!
點色情影片,還拖臉書朋友下水! 看FB好友私訊推薦影片,竟被木馬附身!
網路釣魚(Phishing),不再只是個人帳號密碼被盜而已:
●一封冒稱健保局的「二代健保補充保險費扣繳辦法說明」,導致萬筆中小企業個資遭竊,登上媒體版面
●最近大舉入侵台灣的勒索軟體 Ransomware也經常使用類似的社交工程(social engineering )信件手法,達到綁架電腦的目的。比如勒索軟體假冒 Chrome,Facebook 和 PayPal發網路釣魚電子郵件
一位使用者在社群網站上瀏覽最新動態時看到一則有關熱門話題的「獨家」影片。使用者點了一下影片連結,然後彈出一個視窗要求使用者再次登入其社群網站帳號,不然就是在該網站上註冊其電子郵件帳號和其他資訊才能觀看這段獨家影片。在使用者登入之後,又再轉到另一個網頁,結果就看到 (或沒看到) 所謂的獨家影片,之後,使用者關了這個視窗,然後繼續上網。
這樣的情節在今日非常普遍,不論是網站、貼文或是電子郵件,都會出現一些有趣或重要話題且內容「獨家」的連結,但點進去之後卻是一連串要求使用者註冊或登入的網頁,不然就是奇怪的問卷調查、討厭的彈出視窗以及應用程式或工具的下載網頁。
任何平常有上網習慣的人,都有機會遇到這類連結和網頁,而且若您曾經為了看到這些內容而提供過您的帳號資訊或個人資訊,那您最好趕緊更換密碼,因為您很可能已經是網路釣魚(Phishing)的受害者。
您是否曾經發生網路帳號被人盜用?或者曾經有朋友說你為何寄了奇怪的電子郵件給他?或者發現「自己」竟然在社群網站上張貼了一些奇怪的內容或垃圾連結,但卻一頭霧水自己怎會貼這些東西?這些情況很可能都要追溯到上次您點進一連串奇怪網頁最後卻什麼也沒看到的那件事。
網路釣魚(Phishing)一直是網路詐騙犯罪集團慣用的一種手段,專門誘騙使用者交出自己的個人資訊,例如:帳號登入資訊、信用卡卡號和銀行帳號、身分證號碼,以及其他重要資料。這也算是一種身分竊盜,至少是過去經常得逞的一種方法,歹徒會利用一個幾可亂真的網頁或電子郵件來假冒人們信賴的一些機構,例如線上支付機構或銀行,誘騙不知情的使用者提供自己的資訊。
[延伸閱讀:10 個誤點率高的網路釣魚類型,每天有100 次掉進駭客陷阱的風險!]
假冒的電子郵件或網站會要求使用者點選某個連結來更新其個人資料或進行某些交易。此連結會將使用者帶到一個假冒的網站來輸入其個人資料或金融帳號資訊,如此就能取得這些資料。網路釣魚(Phishing)有各種形態,如:魚叉式網路釣魚、視訊網路釣魚、簡訊網路釣魚等等。魚叉式網路釣魚是專門騙取特定對象的資訊,例如某大型機構的員工,其最終目標是竊取該公司的機密,因此也是「進階持續性滲透攻擊」(Advanced Persistent Threat,簡稱APT攻擊)慣用的手法。視訊網路釣魚就如同電話網路釣魚一樣,是歹徒經常用來取得使用者資料的一種社交工程(social engineering )手法,而簡訊網路釣魚則是以簡訊為管道的類似手法。
[延伸閱讀:最新LINE詐騙簡訊一覽表!(朋友裝熟借錢、免費LINE貼圖、查詢電信帳單…
您應小心的九個社群媒體威脅 (9 Social Media Threats You Need to Be Aware Of)] 繼續閱讀
選擇你愛的Facebook佈景主題,網路釣客等你上鉤
可能是2011年二月偽Facebook情人節主題的化身,我們看到兩起詐騙號稱可以替Facebook更換顏色主題。第一個騙局號稱有紅色或黑色的Facebook的主題。這騙局甚至散播到Tumblr上。
第二個詐騙則提供使用者更多顏色選擇。儘管所提供的選擇不同,但感染鏈在本質上是一樣的。一旦使用者點入連結,就會出現了一連串的重新導向,最終進入網路釣魚(Phishing)頁面。
APT進階持續性威脅 (Advanced Persistent Threat, APT) 主要是針對特定組織所做的複雜且多方位的網路攻擊.
過去所發生過的大規模病毒攻擊事件,往往是有人藉由所謂的0-day弱點,在未發布修正程式的空窗期將惡意程式大量散播,短時間內就能癱瘓企業網路與主機,並造成難以估計的損失.不過一旦發布了修補程式後,這類型的病毒便很難繼續進行攻擊.
為什麼我們要特別注意APT進階持續性威脅 (Advanced Persistent Threat, APT)?因為所謂的APT進階持續性威脅 (Advanced Persistent Threat, APT)並不像上述說的病毒類型是短時間的大量攻擊,這類型的病毒往往長時間的潛伏在企業內部,先從蒐集情報開始,找尋適合攻擊的目標或跳板,最後再藉由這些目標對內部重要的主機發動攻擊.
根據統計,APT進階持續性威脅 (Advanced Persistent Threat, APT)主要活動的前三大地區為台灣、美國與香港,受害比例最高的是台灣,整體而言亞洲是遭受APT攻擊最主要的地區.
以下是近年來知名的APT進階持續性威脅 (Advanced Persistent Threat, APT)事件
相關圖闢請看文末 註:近兩年來遭受 APT 攻擊的著名案例:
由基本面來看,符合下列三項特點,我們就認為這攻擊是APT進階持續性威脅 (Advanced Persistent Threat, APT):
所以企業與政府通常是APT進階持續性威脅 (Advanced Persistent Threat, APT)的目標,要注意APT進階持續性威脅 (Advanced Persistent Threat, APT)是長期且多階段的攻擊,早期階段可能集中在收集關於網路設定和伺服器作業系統的的詳細資訊,可能透過SQL Injection攻擊突破外網Web伺服器主機,接著,受駭的Web伺服器作為跳板,對內網其他主機或用戶端進行情報蒐集.安裝Rootkit或其他惡意軟體去取得控制權或是跟命令與控制伺服器(C&C Server)建立連線。再下來的攻擊可能集中在複製機密或是敏感數據來竊取知識產權。
APT進階持續性威脅 (Advanced Persistent Threat, APT)的主要行為:目標式攻擊郵件
在APT進階持續性威脅 (Advanced Persistent Threat, APT)的活動中,最主要的就是透過郵件進行滲透式的攻擊,主要有三種類型
APT進階持續性威脅 (Advanced Persistent Threat, APT)的攻擊郵件通常是以文件類型的檔案作為附件,例如Microsoft Office文件或是PDF檔,與一般認知的病毒郵件有著極大的差異,這類型的APT進階持續性威脅 (Advanced Persistent Threat, APT)攻擊郵件通常與使用者平時收發的郵件無太大的相異之處,容易降低使用者的戒心,以下便是APT進階持續性威脅 (Advanced Persistent Threat, APT)郵件的樣本:
APT不是一種新的攻擊手法,也不是可以藉由阻止或破壞一次攻擊就讓問題消失。APT可以被視為更像是一個網路攻擊活動而不是單一類型的威脅;可以想成是進行中的過程。防毒軟體可能可以阻止APT攻擊所使用的惡意程式,但並不意味著停止攻擊。就其性質而言,一個APT是一段持續的攻擊。如果一個戰術行不通,就會再嘗試另外一個。實際上,我們不應該只去思考單一對策,或只是在多層次安全策略上增加更多防禦層,相反的,我們應該思考將其他例子中可能用來攔截、偵測和遏制的各種方式都組合起來。
從實務面來看,在可預見的未來,APT將會一直與我們同在是很合理的假設。APT是長期的過程導向攻擊,是攻擊者動機和攻擊手段改變下的產物。 我們應該繼續部署攔截對策。防毒軟體,加密,弱點掃描和上修正程式(Patch)都是很好的做法。但是這些還不足以去應付APT,所以我們應該假設會被攻擊成功。在會被攻擊成功的前提下,我們必須即時的監控網路流量和電腦上的活動,包括隔離被入侵的設備,關閉伺服器和收集資料以作鑑識分析之用。 萬一攻擊發生了,能夠儘快偵測到攻擊和遏制它所造成的影響才是最主要的目的。
註:近兩年來遭受 APT 攻擊的著名案例:
· 2010 年 1 月 — Google:
在一起名為「極光行動」的事件中, Google 遭受 APT 攻擊。
當時一位 Google 員工點了即時通訊訊息中的一個連結,接著就連上了一個惡意網站,
不知不覺下載了惡意程式,開啟了接下來的一連串APT 事件。
在此事件中,攻擊者成功滲透 Google 伺服器,竊取部分智慧財產以及重要人士帳戶資料。
「極光行動」常用像這樣的軟體更新下載程式作為誘餌。
· 2010 年 7 月 — 西門子:
Stuxnet 是世界上第一隻攻擊西門子 SIMATIC WinCC 與 PCS 7 系統的蠕蟲病毒,
主要攻擊目標為發電廠或煉油廠等等的自動化生產與控制系統( SCADA )。
Stuxnet 藉由微軟 MS10-046 Windows 系統漏洞散佈,
其目的在於取得 WinCC SQL Server 登入 SQL 資料庫的權限。
· 2011 年 3 月 — Comodo:
數位簽章遭竊,憑證遭到破解,使得許多使用者及網站暴露於危險之中。
· 2011 年 3 月 – RSA:
歹徒寄了兩封標題為「 2011 Recruitment Plan 」( 2011 年度徵才計畫)的信件給員工。
這兩封信件實為網路釣魚(Phishing),引發了後續的資料外洩事件。�
RSA APT 事件中的網路釣魚(Phishing)�
· 2011 年 4 月 — 洛克希德馬丁:
在 RSA 遭到攻擊後隔月,駭客以從 RSA 竊得的 SecureID 通過身分認證,侵入武器製造商洛克希德馬丁。
· 2011 年 4 月 – Sony:
Sony PSN 資料庫遭侵入,部分用戶資料未經加密遭竊,
另有信用卡資料、購買歷程明細、帳單地址等等。
官方說法為商未修補的已知系統漏洞遭攻擊。
到了 10 月又遭攻擊者冒名登入,並取得 9 萬多筆用戶資料。
遭竊的信用卡資料在地下網站上拍賣。
以下影片(10:22)有看似熟人寄發信件,點擊後卻引發攻擊的多則實際案例
標題包含:”看了這個文章多活 10 年”,”新年度行政機關行事曆”
駭
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚
◎延伸閱讀
什麼是 APT進階持續性威脅 (Advanced Persistent Threat, APT)?
「李宗瑞影片,趕快下載呦!」從公僕誤開測試信,看好奇心所付出的資安代價(含APT 目標式電子郵件攻擊實際案例)
《APT 威脅》神不知鬼不覺的APT攻擊 — 多則APT 真實案件分享(含網路釣魚信件樣本)
[圖表] APT攻擊的 5 個迷思與挑戰惡意PowerPoint文件夾帶漏洞攻擊及後門程式
進階持續性威脅LURID: 入侵了61個國家1465台電腦,包含外交等單位
《 APT 進階持續性滲透攻擊》BKDR_POISON 未來將出現更多挑戰
<APT進階持續性威脅>經由Email 發送的"員工滿意度調查"PDF檔案含SYKIPOT,展開目標攻擊行動
< APT 目標攻擊 >知名韓國企業收到量身訂製的社交工程信件,員工開啟後遭遠端控制竊取個資
《APT 攻擊》下載藏文輸入法至Apple iOS,竟引狼入室
《APT /MAC 攻擊》另一起和西藏相關的攻擊活動針對Windows和Mac系統
微軟控告殭屍網路ZeuS、SpyEye和Ice IX幕後黑手
一週十大熱門文章排行榜:<影音> 防毒小學堂: 躲在社交網路/社群網路後面的威脅 Social Media Threats
《 APT 進階持續性滲透攻擊》16 封不能點的目標攻擊信件
《 APT 進階持續性滲透攻擊》病毒也愛林來瘋!!目標攻擊以林書豪傳奇故事為餌,安裝後門程式
《 APT 進階持續性滲透攻擊》BKDR_POISON 未來將出現更多挑戰
《木馬專偷 Word, Excel 文件檔,得手後放雲端》受駭IP 遍佈150 國,含政府、學術界和企業網路
<APT進階持續性威脅>經由Email 發送的"員工滿意度調查"PDF檔案含SYKIPOT,展開目標攻擊行動
◎ 歡迎加入趨勢科技社群網站
