擁有自主研發能力的綠色運算,長期以來協助企業用戶處理郵件安全與稽核相關問題,近年來除了加密勒索軟體以外,綠色運算副總經理陳兆寧亦從客戶端發現,犯罪者會利用郵件發送「鷹眼(HawkEye)」後門程式進行滲透入侵,以詐騙交易貨款。
「網路攻擊的思維主要目的在於快速掠奪,利用惡意郵件發動攻擊謀取利益,而奈及利亞近來出現兩個駭客集團,代號Uche與Okiki,專門鎖定開發中國家的中小型企業,先發送不含惡意附件的詢價郵件給該企業的外部聯絡信箱,與該企業經由良好的互動建立信任關係之後,再寄送只需35美元即可取得的簡易後門程式工具—鷹眼,滲透入侵企業內部。」陳兆寧說明。
犯罪者的特性是一旦滲透成功,取得終端電腦控制權限之後,會先潛伏觀察該使用者往來的郵件內容中是否包含貨品交易事項,等待進入付款階段時,再假冒受害者發送變更收取貨款銀行帳戶的郵件,來詐取不法利益。多數業務人員資安觀念較薄弱,受騙上當機率相當高。
 |
| ▲綠色運算副總經理陳兆寧指出,為了降低導入建置稽核機制的門檻,綠色運算將多年來在郵件稽核所累積的領域知識轉化為建置範本,以輔導方式協助興建,藉此發揮稽核應有的效益。 |
除了來自外部的威脅外,陳兆寧也發現,機敏資料外洩又出現新的手法,主要是發生在高科技產業的研發部門。由於內部資安控管嚴謹,多數有導入文件加密或存取管控、DLP等資安機制,直接列印或複製機敏資料恐立即觸發告警,於是又出現新型態的檔案偽裝術。
過去,檔案偽裝的方式大多為變更副檔名或檔案格式,甚至是將機敏資料內嵌於圖片檔的中間或後段,只要通過郵件稽核機制查看內容即可發現,例如綠色運算即是運用巨量機敏資料偵測(Multi-Pattern Matching,MPM)技術進行大量郵件比對。
但新型態的檔案偽裝術,是透過演算法將機敏資料內容以離散方式嵌入媒體檔案中,包含聲音、影像、動畫、PDF,日常工作或生活中常見的檔案。當然,控管嚴謹的郵件資安政策可能會禁止夾帶媒體檔案,但PDF與圖片檔通常無法避免,於是常被利用。
陳兆寧以圖片檔舉例說明,比如以演算法離散地取得具備1024×768圖片解析度空間,並置入竊取的機敏資料,該檔案的解析度可能因此降至640×480,但檔頭不變、檔案格式也未改變,如此一來,即可順利通過內容過濾機制檢測。
不論是鷹眼或檔案偽裝術,皆是在利益驅使下被發明的高科技犯罪手法,往往防不勝防,即便如此,基本該有的防禦措施仍不可輕忽,才能將資安事件發生率降到最低。