現時差不多每家公司都會配備可靠的保護去防範網絡威脅,但防毒軟件也並非萬能,大部份公司受到攻擊可能是由人為犯錯所引致,例如員工點擊惡意連結、啟動macro和下載受感染的檔案,有些個案網絡犯罪份子甚至不需要使用惡意程式,單憑社交工程和合法的軟件方案就能進入公司基建。
勒索,但不是加密勒索
近日有一則關於Luna Moth組織的新聞,他們專門盜取公司資料然後進行敲詐勒索,而獨特之處是他們不使用惡意程式也能取得資料。對機構發動的攻擊仍然是典型的電郵詐騙,網絡犯罪份子偽裝作某網上服務的代表,嘗試欺騙收件者他們已登記訂閱服務,在明天會開始收取費用,如果員工想取消有關的付款或取得更多資料,他們必需致電放在電郵附件中的電話號碼。
看起來電郵附件「內有乾坤」?這次大家的預期可能落空了,檔案並不載有任何惡意程式,所以防毒軟件會讓用戶打開它,犯罪份子這一刻目標只是想讓員工致電該號碼。如果他們成功,攻擊者就會誘騙受害者安裝遙距存取工具(remote access tool, RAT)到他們的裝置,藉此才能協助用戶取消他們的訂閱。技術上而言,遙距存取工具並非惡意程式,所以大部份防毒軟件並不會攔截他們,有一部份可能會警告用戶存在潛在危險,而結果是犯罪份子取得裝置的遙距存取和控制。
值得注意的是,很多個案中騙徒並非只在裝置安裝一款遙距存取工具,以防止一款程式被移除,他們仍然能夠保持控制和再安裝被移除的程式,當取得受害者電腦的控制權,犯罪份子經常安裝額外的工具去進入一滲透公司的基建網絡,獲得更多資源和盜取資料。
機構層面的電話詐騙
美國電訊公司Verizon最近也成為敲詐勒索的受害者,匿名黑客成功誘騙Verizon員工讓他遙距存取公司電腦,方法只是偽裝成內部技術支援的成員,據稱他在電腦上運行了一個內部工具去處理員工資料,使用自定的腳本從數據庫中取得數百人的姓名、電子郵件地址、公司ID和電話號碼。
Verizon確定黑客已接觸公司並要求25萬美元,並威脅把盜取的資料公開,而公司已否定他取得任何重要資料,不過有外媒嘗試聯絡數據庫的人,部份回覆並確定他們的姓名、電郵地址和受聘於Verizon。
除了科技還要考慮人的因素
公司可能已配備了最新的保安方案,但如果員工並沒有準備面對像上文提到的社交工程攻擊,公司的資料還是不會安全,因此一個完善的網絡保安策略,並非只是安裝科技性則的保安工具,也要提高員工對最新網絡威脅的安全意識。
資料來源:Kaspersky Blog
