回顧2013,電子郵件安全防御趨勢已不再是如何避免垃圾郵件造成產(chǎn)能的浪費,黑客已將其精神轉投注于高效益的社交工程攻擊郵件上,這類(lèi)社交攻擊郵件大多重質(zhì)不重量,內容往往讓使用者正中紅心,落入黑客圈套,因此企業(yè)更加重視威脅郵件的防御。
回顧2013年,常見(jiàn)的社交工程攻擊郵件手法有下列幾種:
偽造社群網(wǎng)站通知信
隨著(zhù)社群網(wǎng)絡(luò )越益發(fā)達,來(lái)自社群網(wǎng)站上邀請您加入好友的通知信,到底該不該加入?能不能點(diǎn)擊其中的超鏈接、附加檔案?建議您三思而后行!許多的惡意攻擊郵件假冒知名社群網(wǎng)站通知信,在其中放入了釣魚(yú)網(wǎng)站的連結、惡意檔案,目的是要竊取您的個(gè)資或取得您計算機的所有權。而部份由黑客發(fā)出的單純交友邀請并沒(méi)有放任何的惡意鏈接或程序,與您「交朋友」只為了觀(guān)察您的生活習慣,拼湊出您個(gè)人的信息地圖,之后再做進(jìn)一步利用。
常用辦公文件成為黑客入侵的工具
早期夾帶的惡意附件往往都是很明顯的病毒執行文件;經(jīng)過(guò)演化,病毒執行文件變成壓縮文件并加密,為的是避開(kāi)防病毒軟件的偵測;而現在最流行的作法則是在電子郵件中置入一般認為安全的文件檔,如。doc、。xls、。pdf、。html…等,或將這些攻擊程序放在網(wǎng)絡(luò )上,電子郵件內容僅放置簡(jiǎn)單的下載連結,這不僅能縮小攻擊郵件的體積,還能躲過(guò)大部份的惡意軟件檢查,若再冒名為網(wǎng)絡(luò )管理員或社群網(wǎng)絡(luò )的來(lái)信,攻擊成功的機率將大幅提升!
利用郵件來(lái)竊取電子郵件帳密
較常見(jiàn)的是直接偽造成系統管理者發(fā)出的郵件,請使用者點(diǎn)擊網(wǎng)址修改賬號密碼,進(jìn)而獲得使用者郵件帳密;另一種竊取方法,是直接以SMTP認證的方式進(jìn)行密碼猜測。根據ASRC垃圾訊息研究中心的統計,一般企業(yè)在一日內平均每十分鐘約有4-10次無(wú)聲無(wú)息的密碼猜測嘗試。多數人認為,只要將密碼的長(cháng)度加長(cháng)、混合符號、數字與英文大小寫(xiě),再加上密碼嘗試次數的限制便可防止密碼遭到破解,事實(shí)不然!用戶(hù)為避免忘記密碼,常用方便聯(lián)想的方式建立密碼。如Adobe近期公布,在3800萬(wàn)用戶(hù)中有近200萬(wàn)用戶(hù)使用”123456”為密碼,這些大家慣用且熟悉的密碼,已經(jīng)在黑客猜測的密碼列表中,另外像是「P@ssw0rd」,即使符合密碼原則,但可能只要嘗試猜測十次以?xún)龋阍馄平狻?/p>
移花接木的詐騙匯款郵件
郵件內容與例行執行的合約或交易有關(guān),內容格式多半都與過(guò)去往來(lái)常用的格式雷同。甚至黑客直接攔截正在商談的商業(yè)郵件,復制其內容并竄改連絡(luò )管道信息、匯款帳戶(hù)信息后,以移花接木的手法發(fā)出詐騙郵件。追蹤發(fā)現許多遭受商業(yè)詐騙攻擊的企業(yè),都有內部數據外泄的問(wèn)題,而主要外泄的管道是企業(yè)或私人的電子郵件信箱。
偽冒的語(yǔ)音留言郵件
假冒微軟發(fā)送的郵件,其并未夾帶任何惡意檔案,取而代之的是一個(gè)假的語(yǔ)音留言下載鏈接。當收件人收到這個(gè)郵件時(shí),由于這個(gè)信件假冒微軟的名稱(chēng),而且在信件內容又標示出將下載的檔案為。wav檔,很容易讓人不查而誤點(diǎn)連結。當點(diǎn)擊該惡意鏈接之后,會(huì )導向一個(gè)帶有惡意JavaScript的網(wǎng)頁(yè),瀏覽器執行之后則可能會(huì )對瀏覽器的弱點(diǎn)進(jìn)行攻擊,或是徑自下載惡意軟件誘騙用戶(hù)點(diǎn)擊,其惡意攻擊的方式非常多樣,其中也包括了最新的Java漏洞攻擊(CVE-2012-4681)。
Cryptolocker勒索病毒郵件侵襲
這只病毒不同于過(guò)往病毒的模式,它發(fā)病后并不會(huì )將計算機數據摧毀,而是將重要的數據全都加密,并要求受害人在72小時(shí)內支付「贖金」,否則就再也無(wú)法解密計算機中的數據。
中華數字科技提醒,預防社交工程郵件攻擊建議做到以下幾點(diǎn):
1.建置并定期更新的垃圾郵件、計算機病毒過(guò)濾機制
2.定時(shí)更新計算機與軟件的漏洞修補
3.定期掃描密碼強度,以防止內部漏洞讓黑客有機可趁
4.保持警覺(jué),不隨意開(kāi)啟不明郵件中的附件檔案
5.定期舉辦內部社交工程演練及教育訓練,提升使用者資安意識
