社交工程攻擊手法不只被駭客運用在竊取高經濟價值的資料,如今連小企業也無法倖免,開始出現類似手法的詐騙案件。趨勢科技日前即發現,駭客開始利用小型貿易商與國外商家以電子郵件方式交涉買賣細節時,從中攔截並竄改郵件內容,讓買家在不知情下匯款至駭客的帳號,直到未收到貨品向賣家詢問才讓事件曝光。
「攻擊門檻低可說是此類詐騙事件得手的主因。」趨勢科技台灣暨香港區總經理洪偉淦指出,趨勢科技之所以會發覺小企業開始出現駭客詐騙潮,是因為跟警政署165反詐騙專線合作,至今已超過三年。當初為了解決線上購物網站經常性出現詐騙電話,趨勢科技團隊大約花了一年多時間,深入瞭解平台商各個環節,才發現電子商務擁有相當龐大的生態鏈,而用戶的個人資料,即穿梭在其中。賣家收到訂單後,即擁有買家的個人資料,但賣家都是小公司,系統是委外廠商維護,也會接觸到這些資料。之後的出貨、物流商與送貨廠商也都需要這些資料。單一筆訂單至少就有四家廠商接觸到個資,只要其中一個環節發生疏失,資料隨即外流。
小貿易商成詐騙苦主
跟165專線合作之後,刑事警察局當發生特殊案件時就會找趨勢科技的技術人員協助查看,因此才發現針對小貿易商也出現詐騙術。「隨後開始向經銷商宣導時才發現,原來這不是個案,實際上已經出現許多類似的狀況。」洪偉淦說。
許多經銷商反應客戶的確因此被詐騙匯款或貨品,只是沒有報案或尋求解決方法,因為大多是小型貿易商,供貨給國際級企業,而這些大型企業相當重視安全、信譽方面議題,若得知供貨商曾被駭客詐騙入侵,認定為不安全的夥伴,恐會隨即更換供貨商,因此許多被詐騙成功的貿易商根本不敢張揚,除非遭詐騙金額過大以致影響營運,才會報案尋求警方協助。
還有更多數的小貿易商當發現自己被詐騙後,根本不知道找誰,也不知該如何處理,因為詐騙案件發生之際,大多不會意識到是自己業務資訊系統被駭客入侵竊取資料所導致。洪偉淦特別指出,事實上,詐騙事件的源頭大多是來自資料外洩,以往只在消費端發生,經過新聞報導後人們逐漸有所警覺,現在開始轉向一般商業往來,多數公司行號仍無戒心,一旦遇到時又擔心影響商譽,只好認賠了事。
|
▲駭客轉向資訊安全意識相對較弱的小企業,進行社交工程攻擊。(資料來源:趨勢科技) |
對此,趨勢科技針對此類針對小企業的詐騙手法,量身訂做推出一次性到府服務的事件鑑識,包含「變臉詐騙急救包」與「變臉詐騙防詐包」。急救包的鑑識範圍包括5台內電腦的事件處理,其中包含一年的雲端防毒服務;防詐包則除了5台內的電腦的事件處理外,亦包括網路內容安全設備。兩種服務皆會產出結案報告。
專家查找惡意程式
駭客利用人性弱點所發動的社交工程攻擊,多數人至今尚未具備警覺心。湛揚科技企業產品技術支援中心工程師陳政安就實務經驗觀察,客戶之所以懷疑被駭客攻擊,最常發生的就是電子郵件無法正常發送或收取,跟對方確認過郵件已正常發送卻始終未收到,問題可能發生在傳送過程中轉送的DNS伺服器;但是追查之後才發現,原來公司的網域已被ISP業者封鎖阻擋,因為由公司IP位址發出的垃圾信件、攻擊行為過多,以致於被列入DNS黑名單。此時才會察覺到內部電腦可能早已被植入惡意程式。
「其實主動偵測攻擊行為往往要利用資安工具來即時監控,甚至要有報表與警訊功能,而卡巴斯基即可提供這方面的協助,例如在十分鐘內電腦發現超過十次的可疑行為,就會發送郵件通知管理者,後續技術支援也會主動協助調整資安控管政策,來提升防護機制。」陳政安說明。
當卡巴斯基客服工程師接獲用戶電話表示可能遭遇到駭客攻擊時,會先取得用戶端同意後,透過遠端連線軟體來處理。首先會先檢查最基礎的防毒軟體記錄,近期內所偵測到威脅物件,接下來則必須啟用端點防火牆功能,在此階段開啟的主要目的是為了留下Log,從日誌記錄中發現確實有攻擊行為時,可立即予以阻斷、刪除等處理。
除了Log的檢查,還會再確認防毒軟體設定值。由於現階段企業主通常會以使用者的意見為主,但許多習慣往往會違背資安政策,一旦使用者反彈公司限制過多影響工作效率,管理者只好在安全與便利性之間,選擇較方便使用者工作的設定值。因此還會檢查是否因為某些元件未被啟用而導致攻擊行為發生。
最後會再經由卡巴斯基原廠提供的工具,來進行Log蒐集,取回來分析。「由於蒐集後的Log檔,必須要由我們特殊的工具才得以開啟,所以蒐集的過程中,可能會牽涉到隱私權,因此在執行前會先跟客戶說明,蒐集的資料中可能會具有電腦名稱、檔案路徑等資訊,自然需取得客戶同意後才會執行。」
經過Log分析之後,發現疑似攻擊程式的路徑與檔案名稱,會再跟客戶溝通來取得這些可疑的檔案,之後再送回原廠分析,一旦確認為威脅物件後即刻開發解藥,讓所有用戶更新病毒碼以防禦這類攻擊。
若客戶要求到府服務,湛揚科技業務處副總經理劉忠瑞說明,「大致會分為兩種,其一是簽約客戶,會依照範圍、內容、服務等級,有不同的收費方式,主要是以健診服務項目來提供每月或每季定期做安全檢查;另一種一次性的檢查,單台電腦收費大約為五百元,當然會依照簽約健診頻率有不同折扣。」
「其實已經安裝卡巴斯基解決方案後,還是被入侵成功的機率真的不多。」陳政安強調,「主要是因為卡巴斯基的雲端防毒KSN(Kaspersky Security Network)機制發揮作用。」KSN主動蒐集來自全球用戶的MD5、Hash值,不致將整個檔案送到雲端防毒,在卡巴斯基實驗室會有專業團隊分析並給予信任評比,每40秒左右時間就會更新到全球用戶,如此的速度才得以即時發現最新攻擊事件。
除了仰賴工具協助,培養高警覺心亦是防範現代化攻擊不可或缺。收到寄件位址不明的郵件,且含有附加檔案或網站連結時需更加謹慎,若無法確認真偽還是不要點選開啟,以免落入駭客設下的陷阱。