Business Email Compromise Ransomware as a Service CryptoWall MailAudit WannaCry 商務電子郵件詐騙 Openfind Cerber Sophos Satan DDoS 變臉詐騙 網擎資訊 中華電信 趨勢科技 BEC

提高警覺落實基本管理 強化資安不必花大錢

2018-01-16
各行各業正致力於即將到來的數位化創新商業模式之際,地下數位犯罪經濟體卻也已然成形,在暗網中不僅可買得到漏洞攻擊工具、用戶個資,甚至是連年危害本土中小企業的勒索軟體,攻擊者也可在暗網中找到RaaS(Ransomware as a Service)勒索服務供應商,例如知名的撒旦(Satan),允許訂閱者自行產生變種的勒索病毒,亦可定義比特幣贖金與帳戶,服務供應商再從收益中分潤三成。由此可發現,只要犯罪者願意付費取得工具,根本不需要建置系統與駭客技術,隨即可發動攻擊。
從近年來眾多資安廠商發布的研究報告中可發現,業界專家們一致認同,勒索軟體生態鏈的犯罪模式已確定可獲取利益,因此勢必將持續不斷地演化,除了2015年襲擊本土中小企業的CryptoWall,以及2017年蠕蟲病毒死灰復燃的WannaCry,接下來可能還會再變換手法,例如搭配以往政府或大型企業所設計的APT攻擊策略,伺機發動惡意勒索,除非其商業模式可被徹底瓦解,否則恐難以終止。

對於防禦等級相對薄弱的中小企業而言,在預算不足的情況下,既要面對未來數位時代的競爭,同時得兼顧保護營運系統與資料的安全性,如何能運用現有資安建置來強化體質,降低遭受感染風險,成了中小企業主與IT人員最大的挑戰。

嚴防漏洞被利用來執行攻擊

就實際的統計數據來看,SophosLabs日前發布2018惡意軟體預測報告,於2017年4到10月期間,從全球客戶電腦蒐集取得的資料來分析與預測安全趨勢,發現2017年5月利用EternalBlue漏洞肆虐全球的WannaCry,已居於客戶端電腦攔截回報的勒索軟體首惡,佔了45.3%,超越自2016年年初首度出現後即成主流的Cerber(佔比44.2%)。

Sophos資深技術經理詹鴻基觀察,WannyCry之所以出現後快速地超越Cerber,關鍵在於WannyCry被設計為蠕蟲,利用系統漏洞方式進行傳播感染,由於多數用戶不會留意作業系統或應用程式的更新修補程式是否已安裝到最新,反而認為端點已安裝防毒軟體,應毋須擔心勒索軟體、病毒、木馬、惡意程式等襲擊,若不幸還是被病毒感染,則指責防毒引擎發展已到達瓶頸,但是卻忽略了最重要的關鍵,主要是針對漏洞發動攻擊的手法,本就非屬防毒引擎的攔阻對象,而是必須盡速更新修補漏洞程式。

「以WannyCry事件來看,儘管在發作後4到12小時之內幾乎全數防毒廠商皆發布特徵碼更新,仍舊趕不上變種蠕蟲的傳播感染速度。由此亦反映出,中小企業通常不會在系統更新修補程式釋出時立即進行安裝,或許也是為了避免影響正常運行,問題是,漏洞會被利用來發動攻擊,對此並非為強化防毒引擎能力得以解決,而是必須增加端點防禦機制,例如運用漏洞防護(Exploit Prevention)技術偵測防範已知的漏洞攻擊。」詹鴻基說。

搭配APT手法綁架勒索伺服器系統

趨勢科技於日前公布的2018年資安預測報告中亦指出,數位勒索將是今年度網路犯罪者最重要的獲利來源,為了提高非法利益,可能會利用企業正在積極發展中的物聯網裝置漏洞,來擴大勒索式攻擊層面。

趨勢科技台灣區經銷業務部業務協理黃家寶認為,不論資安市場上如何定義勒索病毒、勒索軟體、勒索蠕蟲,共通之處在於背後是由完整的生態鏈在支持,驅動了攻擊手法不斷地改變與創新,再加上比特幣打通了最後的金流,為攻擊者開啟方便之門,藉此收取贖金即可避免被追蹤。

「如今比特幣已是許多國家公開認可發行的數位貨幣,在台灣則在超商即可購買。新興的數位貨幣支付模式,讓網路犯罪生態鏈變得更加完整,在利益驅動下,吸引更多人加入專業分工,各自負責找漏洞、研發與販售攻擊工具、實際發動攻擊。」黃家寶說。

其實勒索軟體運用的手法大同小異,只是利益誘使更多成員加入,因為攻擊者發現,只要在暗網中購買工具或訂閱服務,基於比特幣的帳戶即可取得贖金,幾乎每個人都可以發動。

攻擊威脅發展至此,首當其衝的通常是資安警覺心不高的中小企業。過去多年雖然APT攻擊議題甚囂塵上,多數企業主卻自以為不致成為攻擊標的,尤其不是經由網站提供營運業務的中小企業,例如製造業,由於資訊系統皆建置在工廠內部,未提供連接網際網路的能力,便以為外部攻擊無法觸及,殊不知遭受勒索軟體襲擊的方式,大多是使用者點選開啟釣魚郵件,觸發惡意加密行為執行,甚至是2017年下半年又出現的新手法,稱之為主機加密型的勒索軟體。

從工作流程增強防護 防治郵件詐騙

黃家寶進一步提到,趨勢科技為人力與預算皆有限的中小企業所設計的Worry-Free專家版(Pro),特點是由資安專家代為管理,來取代以往自建的統一控管系統,只要開通帳號,並且在終端系統安裝代理程式,即可透過雲端平台提供的專屬網頁登入查看。「雲端平台運用大數據分析技術,協助處理從客戶端所蒐集的資料,對中小企業的意義在於,當內部網路開始有惡意程式活動時,可從蒐集取得的記錄資訊中及早偵測到異常,並且主動提出告警通知,防範災害發生。」

除了勒索軟體之外,商業郵件詐騙也是近年來重創中小企業的網路犯罪,損失金額其實遠高於被勒索,甚至內政部警政署刑事警察局165反詐騙都還特製圖文宣導防治。

網擎資訊行銷副總李孟秋不諱言,確實有聽聞客戶遭受詐騙的案例,網擎資訊也快速研發在系統上增添防範機制,例如在MailAudit郵件稽核系統設計DMARC網域認證安全模組,以確認寄件者與收件者身分。

事實上,接收到詐騙郵件的公司,極可能在事前已有資安事件,只是未被及時發現。李孟秋觀察,詐騙郵件難解的根本原因之一,通常來自於帳號被盜取卻不自知,詐騙者才有能力偽冒難以辨識的郵件位址與內文,並且在下訂單或支付貨款期間發送,讓收件者信以為真,把貨款轉帳到詐騙者提供的帳戶。

盜取帳號的惡意行為,其實可透過控管機制進行保護,首先是設定強密碼、雙因子認證、定期變更;其次,系統平台可偵測帳號疑似被盜取的功能,例如來自從未出現過的位置或裝置登入,透過異常警示通知使用者,萬一非為本人執行的登入行為,則必須盡快變更密碼,尤其須查看郵件是否已被設定為自動轉寄。李孟秋強調,在工作流程中的重要環節加強防護,可輔助中小企業老闆在警覺心不足之下被詐騙成功的機會。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!