【避險成功】剔除惡意軟件元素 黑客靠把口說服員工安裝遙距登入軟件
以往黑客入侵企業電腦系統,其中一個方法是以釣魚電郵令對方員工打開內藏惡意軟件的檔案,不過網絡安全公司 Palo Alto Networks Unit 42 安全團隊就發現,近來黑客改變策略,轉而以社交工程攻擊,誘使員工安裝合法的遙距登入軟件,成效更顯著。
Unit 42 專家將這波攻擊稱為 Luna Moth,稱這類型攻擊雖然同樣以釣魚電郵作為起點,但卻與早前曾報導的 BazarLoader 木馬軟件陷阱有很大分別,企業必須及早向員工發出警告。
專家說黑客首先會向目標企業員工發出電郵,附件的 PDF 檔案指其公司帳戶有一筆可疑的信用卡簽帳,必須致電客戶服務中心確認。黑客不會將簽帳金額訂高於 1,000 美元以上,避免收件者向上級匯報或令對方產生懷疑,而是直接致電客服解決。此外,黑客會經常改變電郵主題及附件名稱,減低被電郵防護工具攔截的機會。
當員工信以為真,便會致電電郵中的客戶服務部電話,並向客服上報信內的 ID,此舉有助黑客了解員工所屬的公司,讓他們可拿著早已準備好的資料,提升的社交工程攻擊可信性。專家解釋,黑客這時會提議協助目標企業員工取消信用卡簽帳,不過由於手續比較複雜,因而建議對方在電腦安裝遙距登入軟件,讓假扮成客服的黑客可以遙距操作電腦,加快完成整個取消程序。
由於這款工具並非惡意軟件,因此即使員工答允安裝,安全系統也不會響起警報,只要對方的電腦未有設定管理員安裝權限,黑客便可在完成安裝後,堂而皇之地登入企業員工的電腦及連接的內部網絡,暗中偷走機密及重要的數據。
當黑客收集到足夠數據,便會向同一員工發出一封勒索電郵,否則將會公開手頭上的數據,如果即時付款,更可獲贖金 75 折「優惠」。Unit 42 專家說,這波攻擊在今年 5 月至 10 月期間最活躍,而且從攻擊目標可見,Luna Moth 黑客正將目標由中小企業轉移至大企業,相信是希望能一次過獲得更多贖金。
而大企業在控制電腦設備安裝軟件的權限上一般較嚴謹,恐怕未必會如中小企般容易成功。不過,專家說無論是哪一種釣魚電郵攻擊,最終仍取決於員工的安全意識,因此企業應定期安排培訓,甚至可委託網絡安全公司進行釣魚電郵測試,找出容易受騙的員工加強培訓。
相關文章:【提防騙案】5億WhatsApp帳戶電話號碼流出 300萬港人受牽連