電子郵件 郵件安全 APT 資安 安全 郵件 釣魚

精準魚叉式網路釣魚 電子郵件威脅風險翻倍

2013-07-02
電子郵件是現代商務營運的必要工具,儘管已經非常廣泛普及,而且有著諸多因應威脅的安全措施,然而電子郵件仍然非常容易遭到濫用。企業組織仰賴內部IT專業人員來掃除垃圾郵件、木馬及各種病毒郵件,但大多數安全措施都是十年以上的舊技術。如今有必要從全新角度來檢視企業電子郵件的安全性,因為舊式的大量郵件攻擊早已逐漸消失,取而代之的是新而更具針對性的郵件攻擊,成為駭客竊取資料的主要手段。
傳統亂槍打鳥已失效

傳統大量郵件攻擊採用一種嘗試正確(tried-and-true)的模式,仰賴類似散彈槍的方法——稱為網路釣魚。這種方法以非特定的收件人為目標,大量送出將惡意程式隱藏在本文或當成附件的電子郵件。駭客只能釣到一小比例的收件人,但一如其名「釣魚」,投入水中的釣魚線越多,魚兒上鉤的機會就越大。今天這或許仍是駭客們喜愛的手法,但卻有一個問題:魚兒變得比較聰明而不再咬餌。 使用者已經學會很謹慎地辨識這些攻擊。現在這種隨機攻擊的成功率可說相當低,雖然它確實曾經造成非常大量的使用者上當。除了使用者變得聰明,傳統電子郵件安全方案對於這些攻擊的辨識能力也趨於成熟,藉由一些技術偵測網路釣魚郵件,例如:

  • 送件人郵件聲譽:用以辨識已知的垃圾郵件發送地址。
  • 語彙分析:分析郵件內容以檢查是否包含常見於垃圾郵件的文字組合與句型。
  • 防毒掃描:對付藏在電子郵件或附件內的已知病毒。
由於這些防護技術已相當可靠且有效,因此現在許多頂尖的電子郵件安全方案都保證可以偵測99%垃圾郵件和100%已知病毒。然而,使用者知識與安全措施的提升並無法阻止駭客的惡意企圖,他們一心想要侵入你的電腦、資料、網路、甚至你的世界。一如令人厭惡的病毒,駭客的手法不斷進步並且採用截然不同的新技術。

新型魚叉式網路釣魚

近年來值得注意的新攻擊手法叫作「魚叉式網路釣魚」(Spear-phishing),如果弄懂它真正的危險性,足以讓一些人嚇到不敢讀取電子郵件。魚叉式網路釣魚是一種少量動作而高度針對性的攻擊。電子郵件不再承諾你可以獲取財富或看到明星走光,變成看似完全正常合法,而惡意程式則藉由一個嵌入在郵件內的網址散播。

駭客在製作這些魚叉式網路釣魚郵件時,是以特定的收件人為目標,並且從社交網路和公共網站收集收件人的相關資訊。然後,駭客侵入一個合法的網域或伺服器,以便讓他們的郵件擁有一個良好聲譽的位址。他們利用調查得知目標收件人的資訊,從該良好聲譽的位址發送釣魚郵件,內容訊息經過社交工程編輯以提高收件人的點擊率。當收件人點擊郵件嵌入的網址,通常是連結到一個合法但已遭入侵的網站,電腦就會自動下載惡意程式,執行其所設計的動作並探尋網路的安全弱點。這是一種新的手法,但最終結果都一樣;竊取機密資料,目標收件人成為受害者。

以下是魚叉式網路釣魚攻擊的例子:小張喜歡看小貓影片。他在Facebook的貓咪粉絲團按讚,在微博張貼喜歡的小貓相片,甚至還有一個部落格用來點評YouTube最新的小貓影片。因此當小張收到來自他喜歡的一個小貓網站的郵件,要他點擊嵌入的連結就可以優先觀看最新的有趣影片時,他如何能拒絕?然後小張的電腦就被感染了,所有的個人和工作資料被傳送到駭客手中。

這類攻擊有時甚至會更具致命性。成功的魚叉式網路釣魚攻擊利用目標受害者天生的好奇心。有些更有效的企業攻擊則是在郵件的附件主旨下功夫,使用諸如「2013薪資指南」、「第一季徵才計畫」和「會議時間更動」等。另有些則是利用人們的恐懼心,例如法院傳票。

魚叉式網路釣魚極為有效,因為它來自可信任的來源,而且不一定都會與惡意程式相關,因此能夠繞過一般的安全防護。此外,它也不會使用一些經常出現在垃圾郵件的文字,而且掃描實際的訊息也沒有包含惡意程式。

在2012年,以研究網路安全著稱的美國橡樹嶺國家實驗室(Oak Ridge National Laboratory)成為魚叉式網路釣魚的攻擊目標,駭客成功誘使57位使用者點擊惡意連結,使得他們的網路暴露於外界威脅。


▲2012年,具備嚴密資安措施的美國橡樹嶺國家實驗室(Oak Ridge National Laboratory)也曾經成為魚叉式網路釣魚攻擊的受害者。

企業組織如何因應

如果你負責公司的資訊安全,那麼必然已經對魚叉式網路釣魚有所注意,而你也會希望獲得一些有用的反制訣竅。以下提供一些建議,協助你阻斷魚叉式網路釣魚攻擊。

取得即時Web分析,以判斷目前的網站威脅層級,包括社交網路網站。現在幾乎所有(92%)網路釣魚攻擊都會包含一個Web元件,以迴避傳統電子郵件閘道和防毒機制。嵌入在這些郵件的網址通常會連結到隱藏惡意程式的網站。

對於包含網址的可疑電子郵件採取孤立與沙盒(Sandbox)防範措施以進行即時分析。深夜寄達的電子郵件,可能包含了一個經閘道當下安全掃描確認無害的網頁連結,然而隔天早晨當收件人點擊連結時,那個網址或許已經變成遭植入惡意程式隱碼的網頁。每個星期平均有超過700件惡意程式利用這種攻擊模式散播,卻連頂尖的防毒引擎都無法偵測到。

分析所有外送資料,對敏感資料自動進行阻斷、隔離或加密,並監控可能洩漏重要資訊的資料型態。企業組織需要在電子郵件基礎設施和資料存取裝置(例如平板電腦和智慧型手機)建立一道額外的防線,以監控資訊流並預防資料外洩。

使用者教育:利用真實世界網路釣魚攻擊例子教育員工。如果使用者不遵循網路安全守則的話,即使安裝最新的安全方案也沒有意義。大多數員工在利用公司電腦或筆記型電腦檢查個人電子郵件帳戶時,都不會發現有什麼問題,因此使用者的警覺性是保護資訊的關鍵。

(本文作者現任Websense台灣區技術總監)


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!