只有極少的惡意郵件,能藉由剖析郵件遞送機制的漏洞直接達成入侵。對於攻擊者而言,礙於電子郵件本體難以實現自動執行惡意程序的先天限制,不論是非特定或特定對象的攻擊,都需要透過社交工程的手段─「欺騙」被攻擊者並令其配合來實現。
使用者沒有下載不明或非法軟體,也沒有使用外接裝置,幾乎都遵守IT人員建議的規範,並處於防火牆、防毒機制的保護之下,為什麼終端電腦還是遭到感染與入侵?上述困擾著企業資安人員的問題,多半由惡意電子郵件而來。
惡意電子郵件攻擊的對象,可分為非特定對象及特定對象。非特定對象的攻擊常見於一般的病毒、蠕蟲郵件,這類郵件的散佈面廣,沒有特定攻擊對象,以增加攻擊母體的總數來提高攻擊成功的機率,因此其內容多半是較制式的,用以欺騙戒心較低的被攻擊者。
特定對象的攻擊,指的是此類惡意電子郵件是刻意製造,用以攻擊預定對象的攻擊郵件,在此類郵件攻擊的前期,通常都會先調查被攻擊對象的習慣、使用的防毒軟體等等資料,再特別打造出容易突破被攻擊者防護機制,且易取信於被攻擊者的攻擊郵件。
郵件難自動執行攻擊
只有極少的惡意郵件,能藉由剖析郵件遞送機制的漏洞直接達成入侵。對於攻擊者而言,礙於電子郵件本體難以實現自動執行惡意程序的先天限制,不論是非特定或特定對象的攻擊,都需要透過社交工程的手段─「欺騙」被攻擊者並令其配合來實現。
不同於一般的入侵攻擊,透過惡意電子郵件發動的攻擊,其目標並非系統或機器,而是人。這樣的攻擊並不需要高深的資安技術,若再藉已存在的惡意程式做攻擊,其攻擊難度及成本,都會比直接攻擊系統或機器來得簡單與低廉。
一般發動的攻擊,主要希望被攻擊者配合的不外乎:
1. 執行惡意附件檔:這類攻擊郵件多半夾有一個惡意執行檔、壓縮檔,或者加過密碼的壓縮檔,通常會佯稱此為訂單資料、照片或傳真等重要文件,誘騙被攻擊者執行惡意附件檔。
2. 點擊惡意超連結:這類攻擊郵件多半小且沒有附件檔,但其中帶有一個惡意連結連往一個釣魚網站,或是網路磁碟空間,企圖誘騙被攻擊者提供個人機敏資料或下載惡意檔案並執行。
3. 回報個人機敏資料:這類攻擊郵件多半小,沒有附件檔也沒有超連結,純粹在信中以文字的方式要求回傳帳號密碼或匯款等事項。
誘使主動配合攻擊
被攻擊者通常會受騙的原因,除了好奇之外,多半是此類攻擊郵件具備三個主要的要素:
1. 被攻擊者能輕易讀懂內容:英文語系的攻擊郵件攻擊非英文語系的區域,不容易成功,因被攻擊者不習慣使用該語言,若生活中與人互動並沒有使用英文,類攻擊郵件多半會被直接忽略。
2. 所提及的事與自己相關,可能略帶緊急:若攻擊郵件的內容及所聲稱的事無關或不重要,多半被攻擊者也不會理會。
3. 沒有適當之輔助識別的知識及工具:若攻擊郵件可以被防毒、反垃圾信機制識別,並特別提醒收信人,收信人的警覺心會提高;或者被攻擊者的電腦沒有隱藏副檔名,且本身對於郵件中的可執行檔有警覺性,也不容易被攻擊成功。
惡意電子郵件發動的攻擊其目標是人,但這並不意味設備或架構的防護措施不重要。資訊安全的機制諸如垃圾郵件過濾、防毒扮演的角色為降低被攻擊者與攻擊郵件的接觸,或者提供額外的識別資訊供被攻擊者參考。但需要特別留意的是,由於惡意郵件的攻擊方式、內容是會不停變化的,尤其針對性的攻擊,因此難以透過郵件過濾機制達到即時百分之百的防範。且如前述,惡意郵件攻擊的目標是人,因此落實正確的資安認知,便顯得十?分重要。
突破資安教育盲點
談到資安認知,相信多數企業單位在內部都不乏教育訓練及宣傳,但教育的效果卻往往不如預期。我們在此列舉出幾個容易導致資安訓練無效的因素:
1. 資安被視為資訊部門的事:除了資訊部門的成員外,其他成員並不認為或不能感受到資訊安全與自身的相關性、重要性,因此資安教育訓練容易輪為虛應故事或短期工作,而不能成為一個日常作業的習慣。
2. 傳達的資安觀念與環境不能配合:傳統的資安觀念可能會提及,若有不明的.exe執行檔,則需避免執行,但Windows作業系統預設是隱藏執行檔的,因此這樣的觀念卻沒有相應的可識別副檔名的環境配合,這就成了資安觀念傳遞與執行之間的盲點。
3. 只教育「禁止」而非「應如何」:常見的資安教育訓練多半是由「禁止」的觀點來教育內部人員如何避免資安風險,例如:「禁止」使用簡單密碼、「禁止」開啟不明郵件;但社交工程郵件有時難分真假,「應如何」進一步確認?密碼不能使用簡單密碼,「應如何」設定一個安全又能被記憶的密碼?從內部人員觀點出發,在資安的教育訓練設計中較容易被忽視。
4. 缺乏教育訓練成果量測:資安訓練完成後,對訓練成果疏於量測也是容易導致資安訓練無效的原因之一。教育訓練成果如何,可透過合理的考試、問答或於企業內部舉辦相關演練進行確認及改善。
社交工程並不是一個新的概念,在過去,這樣的手法也被應用於人的直接互動、電話等等各種溝通的管道,電子郵件亦是溝通管道的一種,使用這樣的方法可以降低入侵技術層面的門檻與成本。社交工程手法所利用的,多半是被害人的疏忽、慣性、貪念與恐懼,以達成其目的,因此,人的認知與訓練是防護電子郵件社交攻擊最重要的手段,但並非唯一手段,仍須輔以其他過濾識別技術搭配,才能達到事半功倍的效果。
<本文作者高銘鍾,現任ASRC垃圾訊息研究中心主任。擁有專案管理師、ISO 27000、ISO 20000等相關證照,並具有十年資安領域相關經驗,專精於垃圾郵件、惡意攻擊研究。ASRC垃圾訊息研究中心(Asia Spam-message Research Center)長期與中華數位科技合作,致力於全球垃圾郵件發展特徵之研究事宜。>