近期美國能源局、核子安全局遭駭,鴻海北美廠區也遭勒索病毒入侵,台灣境內包括仁寶、研華、中油先後傳中毒,網友間風傳駭客勒索信,都是指定受害者要在期限內支付比特幣,才能解毒。
比特幣因為交易隱密,不易被追蹤,全球企業拼雲端化,更使得駭客攻擊機率增加,在科技大廠事件頻傳下,資安重要性浮上檯面,為何愈來愈多大型企業被駭?究竟如何中毒的?誰交付「贖金」呢?分享《數位時代》駭客勒索事件科普知識一次分享。
Q:為何大型企業常報導遭駭?他們不是在資源上,對資安防護意識上,都比中小企業更高嗎?
這種大規模感染病毒事件,過去駭客是亂槍打鳥,到處攻擊,對方中毒後就會要求錢,偏向小型攻擊,但現在駭客多半組成大型團體組織,有分工,針對大企業動輒要求百萬美金贖金,因為更有效率賺更多。
Q:中勒索病毒的管道有哪些?
中勒索軟體大致可以分四類。
1. 網站突破:最常見是「無主主機」,在很多大企業單位,很多沒在用的主機系統忘記下線
2. 具備上傳功能網站:比方政府各部會有民眾陳情功能,可以夾檔申報,這很容易被網頁木馬(Webshell)木馬程式攻擊,防毒軟體完全偵測不到,有些網站我們一查可以抓到100多個木馬程式
3. 控制AD(Admin)(集中式目錄管理服務)帳密外洩
4. 很多資訊系統管理者,會到處登入不同電腦做主機維修,但很可能該電腦是被感染的,密碼就遭竊。
Q:在防毒軟體或防火牆下,到底科技大廠怎麼中毒的?
員工電腦跟網站是主要弱點,尤其員工工作上必須收信,點了就會連結到外網,比方駭客會寄發「免費抽獎/演唱會門票」之類的信,員工點進去,病毒就會進入企業網路摸索收集資料,探知哪些人是做業務的,然後寄發業務相關郵件給員工。
駭客都是有計畫的,他會先丟釣魚郵件,看員工會不會開啟,或從周邊裝置如隨身碟下手放毒,一旦侵入企業內網再埋伏搜索,很可能會花幾個月功夫;也有可能是給員工一個釣魚網站網址,或者掃描企業網站,找弱點,對他們來說,花一番功夫也沒關係,因為報酬很豐厚。
企業的資訊部門一定也會重兵防守,所以很多時候是發給企業員工釣魚郵件,慢慢感染同事電腦,再從內部網路鑽到漏洞,藉此側錄AD主機的帳號密碼,一旦拿到帳密,就能成功感染AD主機。
釣魚郵件難「零中毒率」,員工開信應提高警覺
Q:訓練員工不要亂開信有用嗎?企業中毒後,會究責開釣魚信的員工嗎?
我們10年做過100萬次釣魚郵件內部測試,沒有遇過中毒率零的,顯示這真的很難,但內部釣魚信測試只是要讓員工提高警覺性,不能保證不出問題。
曾經有一個案例是,醫院的人資部門收到一封來自雅虎信箱的求職信,很誠懇的內容,自我介紹工作經驗並附上履歷檔案,後來發現該檔案夾後門。人資工作就是徵才,究責這個很難,不可能要求人資不開履歷信,這也是駭客很用心的地方,難道你要人資「用肉眼掃毒」嗎?
另一個詐騙很簡單叫變臉郵件詐騙(Business Email Compromise, BEC),駭客模仿供應商來往信件,郵件地址只有差一個字,比方O打成0,銀行行員看跟往常往來信格式一樣,沒有看清楚,例行匯款就匯出去了,行員必須提高警覺。
查看Part2
(相關資訊來自數位時代)
