网路资讯/骇客如何诱骗公司员工?

作/埃里

益智问答:骇客最容易入侵企业网路资源的终端弱点在哪? 答案不是未安装修补程式的Windows漏洞浏览器弱点;事实上,答案完全不在科技层面。贵公司最大弱点是公司的科技使用者

作业系统相较,人几乎没什么了不起,SANS Institute的Securing The Human Program培训主任Lance Spitzner说:「电脑储存、处理与传输资讯,人也是储存、处理和传输资讯,人也是一种终端;但人受到的威胁并非缓冲溢位,而是不安全的行为。」

骇客会传送冒充合法的假讯息,使公司员工小心点选恶意附件及连结;不肖徒会将感染恶意程式的随身碟放在公司停车场,诱使员工捡起并插入电脑一探究竟;员工会登入被破解的无线网路来存取公司资产。员工有许多不安全的行为,让歹徒有机可趁。

当然,贵公司一定有反钓鱼技术阻止恶意讯息跑进员工的信箱中,也有弱点管理套件可防护骇客虎视眈眈的瑕疵,贵公司还有各种反恶意程式软体,但这些产品都不是万无一失,部署及使用措施也一样有缺憾

精心设计的钓鱼讯息可以逃过邮件过滤工具法眼。不肖之徒专找未被侦测到的技术弱点,然后借由不疑有他的使用者之手入侵。他们一般是发展恶意程式新变种,让反恶意程式引擎无法侦测到,他们还会想出狡猾策略,将恶意程式藏在邮件或是网站上。上述种种方法,最后一道关卡都是让员工接到恶意邮件,或是到受感染的网站,如果企业无法解决人为的弱点,将使自己陷入麻烦境地

使用者以为有IT部门就够安全,正是造成不当安全幻象主因, 安全训练公司PhishMe执行长Rohyt Belani说:「多数被骇的大公司都有反恶意程式或反网钓软体,因此,若不是产品供应商吹牛,就是这些产品原本就非100%有效。」

渗透测试会显示出,大部份安全漏洞是出在电子邮件,而他们最强大的骇客工具也不是什么低阶网路入侵工具,「最强大的渗透测试工具是Outlook,」SAN的Spitzner说。

网路内容安全公司趋势科技(TrendMicro)指出,去年2月到9月间精准攻击,91%和钓鱼手法有关。这些攻击已远超过去年的银行网钓攻击。现在骇客会花时间设立详细的计划,研究目标,并发展或购买尽可能不会启人疑窦的恶意工具。如果他们成功将攻击机制穿透受害者防御工事,它们可能停留在受害者电脑中等待攻击者侵入它连上的网路。

最近一项攻击趋势是对话式钓鱼手法,受害者接到好几封「看似来自某个人,且是电子邮件串的邮件,」PhishMe的Belani说。攻击者已对受害者了若指掌,且佯称他们是在一场很盛大的活动,如RSA上见过面。在信中攻击者告诉受害者一则他一定会有兴趣贴文,然后附上一则受感染的版本,攻击者甚至之后还寄发信件,邀请使用者到那部落格看看。

「由于你相信的确有个人在跟你通信,因此不疑有他,开启那封文件,这种技俩至少已出现半年以上,」Belani说。

而此类攻击也愈变愈复杂,提供事件回应及教育训练的MAD Security合伙人Mike Murray表示,大约一年前发生过一件事,一名国家层级的攻击者向MAD Security一家客户高层及其他公司4名主管下手,攻击者已做了广泛的研究(可能是透过LinkedIn),知道这5名高层平日有专案合作,攻击者利用这些资讯伪造5封不同电子邮件,每一封看起来都像是同伴向其他群组成员发信,转发给他漏掉的一封会议。信中包含伪造成假会议大纲的恶意附件,而每封信都有一长串信件对话,好比彼此间已为会议来来回回通信好几次。

「在这种情况下你有什么理由不打开那封信?他们都是你平日合作的5个人哦!结果我认识的每个人都打开那附件,包括我,」Murray 说。