網路資訊/駭客如何誘騙公司員工?
作/埃裡卡
益智問答:駭客最容易入侵企業網路資源的終端弱點在哪? 答案不是未安裝修補程式的Windows漏洞或瀏覽器弱點;事實上,答案完全不在科技層面。貴公司最大弱點是公司的科技使用者!
和作業系統相較,人幾乎沒什麼了不起,SANS Institute的Securing The Human Program培訓主任Lance Spitzner說:「電腦儲存、處理與傳輸資訊,人也是儲存、處理和傳輸資訊,人也是一種終端;但人受到的威脅並非緩衝溢位,而是不安全的行爲。」
駭客會傳送冒充合法的假訊息,使公司員工不小心點選惡意附件及連結;不肖之徒會將感染惡意程式的隨身碟放在公司停車場,誘使員工撿起並插入電腦一探究竟;員工會登入被破解的無線網路來存取公司資產。員工有許多不安全的行爲,讓歹徒有機可趁。
當然,貴公司一定有反釣魚技術阻止惡意訊息跑進員工的信箱中,也有弱點管理套件可防護駭客虎視眈眈的瑕疵,貴公司還有各種反惡意程式軟體,但這些產品都不是萬無一失,部署及使用措施也一樣有缺憾。
精心設計的釣魚訊息可以逃過郵件過濾工具的法眼。不肖之徒專找未被偵測到的技術弱點,然後藉由不疑有他的使用者之手入侵。他們一般是發展惡意程式新變種,讓反惡意程式引擎無法偵測到,他們還會想出狡猾策略,將惡意程式藏在郵件或是網站上。上述種種方法,最後一道關卡都是讓員工接到惡意郵件,或是到受感染的網站,如果企業無法解決人爲的弱點,將使自己陷入麻煩境地。
使用者以爲有IT部門就夠安全,正是造成不當安全幻象的主因, 安全訓練公司PhishMe執行長Rohyt Belani說:「多數被駭的大公司都有反惡意程式或反網釣軟體,因此,若不是產品供應商吹牛,就是這些產品原本就非100%有效。」
滲透測試會顯示出,大部份安全漏洞是出在電子郵件,而他們最強大的駭客工具也不是什麼低階網路入侵工具,「最強大的滲透測試工具是Outlook,」SAN的Spitzner說。
網路內容安全公司趨勢科技(TrendMicro)指出,去年2月到9月間的精準攻擊,91%和釣魚手法有關。這些攻擊已遠超過去年的銀行網釣攻擊。現在駭客會花時間設立詳細的計劃,研究目標,並發展或購買儘可能不會啓人疑竇的惡意工具。如果他們成功將攻擊機制穿透受害者的防禦工事,它們可能停留在受害者電腦中等待攻擊者侵入它連上的網路。
最近一項攻擊趨勢是對話式釣魚手法,受害者接到好幾封「看似來自某個人,且是電子郵件串的郵件,」PhishMe的Belani說。攻擊者已對受害者瞭若指掌,且佯稱他們是在一場很盛大的活動,如RSA上見過面。在信中攻擊者告訴受害者一則他一定會有興趣的貼文,然後附上一則受感染的版本,攻擊者甚至之後還寄發信件,邀請使用者到那部落格看看。
「由於你相信的確有個人在跟你通信,因此不疑有他,開啓那封文件,這種技倆至少已出現半年以上,」Belani說。
而此類攻擊也愈變愈複雜,提供事件迴應及教育訓練的MAD Security合夥人Mike Murray表示,大約一年前發生過一件事,一名國家層級的攻擊者向MAD Security一家客戶高層及其他公司4名主管下手,攻擊者已做了廣泛的研究(可能是透過LinkedIn),知道這5名高層平日有專案合作,攻擊者利用這些資訊僞造5封不同電子郵件,每一封看起來都像是同伴向其他羣組成員發信,轉發給他漏掉的一封會議。信中包含僞造成假會議大綱的惡意附件,而每封信都有一長串信件對話,好比彼此間已爲會議來來回回通信好幾次。
「在這種情況下你有什麼理由不打開那封信?他們都是你平日合作的5個人哦!結果我認識的每個人都打開那附件,包括我,」Murray 說。