來自電郵的網絡威脅就像現代人的智能手機一樣密不可分,差不多每個有上網習慣的人或多或少都有接觸過,以下將會列舉在2022年內,惡意電郵最常使用的技倆。
Business e-mail compromise (BEC)數量急增
一場疫情完全改變了電郵威脅的形勢,由於很多人轉移到遙距工作,電郵作為不可缺少的網上溝通方法同時吸引了網絡釣魚和BEC攻擊,當中經常以催促收件者盡快作出反應的技倆最為常見,以下是2022年主流的攻擊:
- 發送大量含有惡意內容的垃圾電郵去感染受害者的電腦
- 活用社交工程技術在惡意電郵上,甚至是針對性的網絡釣魚(簽名檔加入特定部門、使用商業用語、適合目標公司的設定、借當時的事件、盜用真實公司員工的身份)
- 廣泛的詐騙 – 使用像真實目標機構的電郵域名進行詐騙
就結果而言,騙徒透過惡意濫發的電郵冒充為內部訊憩或來自其他公司的商業聯絡,甚至是政府機構。
電郵內的惡意程式
今年惡意電郵的主流是冒充商業聯絡,例如是打開附件的收據或下載連結的檔案,網絡犯罪份子通常會讓收件者認為電郵含有工事相關資訊,例如商業報會或送貨收據等等,惡意程式通常會是一個加密的壓縮檔,而密碼就會放在電郵訊息之內。例如:攻擊者從事前感染的電腦內盜取商業通訊往來的存取,然後發送含有惡意檔案或連線的新電郵給所有參與者,令通訊更具說服力,收件者也更難發現墮入騙局之內。
大部份的個案當打開惡意文件時,便會加載Qbot或Emotet木馬程式,兩者都是用作盜取用戶數據、收集公司網絡內的資料,以及散播其他惡意程式,例如加密勒索和式,此外,Qbot能用作存取電郵和盜取訊息,藉此用作將來進行其他攻擊。
假政府通知
今年電郵模仿政府政府部門的數字大幅增加,尤其以俄語的地區最為顯著,這些電郵通常都專門設計成某個機構,發送地址也有部門的真實域名,而惡意附件的名稱則配合著主題,例如「Comments on the results of the meeting」,其中一種附件的惡意代碼能利用Microsoft Office其中一個元件Equation Editor中的安全漏洞。
乘當時話題之勢
在俄語的互聯網圈子內,發現惡意電郵的活動有借當時話題的趨勢,例如在10月網絡犯罪份子就以「召集令」作為幌子,電郵冒充國防部的設計,並列舉了刑法,要求收件者從連結中下載檔案,事實上該連結是指向一個可執行的腳本壓縮檔,一解開便會創建執行檔並且執行。
也有訛稱是俄方執法部門的電郵,邀請收件者下載新的網絡威脅防護方案,實際執行該程式後便會把加密勒索木馬程式安裝到電腦內。
防範電郵威脅
網絡犯罪份子的活動越來越精密,針對商業機構的技倆也越來越像真,要讓公司基建防禦來自電郵的攻擊,除了在公司電郵伺服器和所有連線上網的裝置安裝保安方案,員工對網絡安全的意識也不可缺少。
資料來源:Kaspersky Blog
