“我们是Fancy Bear,即将在X月X日攻击你们的服务主机,除非汇款20个比特币到指定钱包,否则你的客户服务将完全中断。我的名气欢迎去Google搜查看看,先前新西兰交易所遭受的攻击(编按:导致四天股市交易中断)就是我做的,给你一周时间准备,跟损失的企业商誉跟客户信任相比,这个金额其实很便宜。”—Fancy bea
一封真实勒索信,从一个名为Fancy Bear的黑客组织发出。
这是一封真实的黑客攻击威胁信件,10月寄给一间台湾属一属二大型跨国集团,结局是这番攻击预告被安全专家们挡下,但这封信背后显示的,是跨国黑客集团的嚣张,及网络攻击事件的频繁。
近期美国能源局、核子安全局遭黑,鸿海北美厂区也遭勒索病毒入侵,台湾境内包括仁宝、研华、中油先后传中毒,网友间风传黑客勒索信,都是指定受害者要在期限内支付比特币,才能解毒。
比特币因为交易隐秘,不易被关注,全球企业拼云化,更使得黑客攻击几率增加,在科技大厂事件频传下,安全重要性浮上台面,为何越来越多大型企业被黑?究竟如何中毒的?谁交付“赎金”呢?《数字时代》通过访谈安全专家安碁信息技术副总黄琼莹及首席安全官顾宝裕,将黑客勒索事件科普知识一次分享。
安碁技术副总黄琼莹。
安碁首席安全官顾宝裕。
Q:为何大型企业常报道遭黑?他们不是在资源上,对安全防护意识上,都比中小企业更高吗?
顾:这种大规模感染病毒事件,过去黑客是乱枪打鸟,到处攻击,对方中毒后就会要求钱,偏向小型攻击,但现在黑客多半组成大型团体组织,有分工,针对大企业动辄要求百万美金赎金,因为更有效率赚更多。
Q:中勒索病毒的渠道有哪些?
黄:中勒索软件大致可以分四类。
1. 网站突破:最常见是“无主主机”,在很多大企业单位,很多没在用的主机系统忘记下线
2. 具备上传功能网站:比方政府各部会有人们陈情功能,可以夹档申报,这很容易被网页木马(Webshell)木马程序攻击,杀毒软件完全侦测不到,有些网站我们一查可以抓到100多个木马程序
3. 控制AD(集中式目录管理服务)帐密外泄
4. 很多信息系统管理者,会到处登录不同计算机做主机维修,但很可能该计算机是被感染的,密码就遭窃。
Q:可否让我们理解,在杀毒软件或防火墙下,到底科技大厂怎么中毒的?
顾:员工计算机跟网站是主要弱点,尤其员工工作上必须收信,点了就会连接到外网,比方黑客会发送“免费抽奖/演唱会门票”之类的信,员工点进去,病毒就会进入企业网络摸索收集资料,探知哪些人是做业务的,然后发送业务相关邮件给员工。
黑客都是有计划的,他会先丢钓鱼邮件,看员工会不会打开,或从周边设备如U盘下手放毒,一旦侵入企业内网再埋伏搜索,很可能会花几个月功夫;也有可能是给员工一个钓渔网站网址,或者扫描企业网站,找弱点,对他们来说,花一番功夫也没关系,因为报酬很丰厚。
企业的信息部门一定也会重兵防守,所以很多时候是发给企业员工钓鱼邮件,慢慢感染同事计算机,再从内部网络钻到漏洞,借此监听AD主机的账号密码,一旦拿到帐密,就能成功感染AD主机。
钓鱼邮件难“零中毒率”,员工开信应提高警觉Q:那么训练员工不要乱开信有用吗?企业中毒后,会究责开钓鱼信的员工吗?
黄:我们10年做过100万次钓鱼邮件内部测试,没有遇过中毒率零的,显示这真的很难,但内部钓鱼信测试只是要让员工提高警觉性,不能保证不出问题。
曾经有一个案例是,医院的人资部门收到一封来自雅虎信箱的求职信,很诚恳的内容,自我介绍工作经验并附上履历文件,后来发现该文件夹后门。人信息工程作就是征才,究责这个很难,不可能要求人资不开履历信,这也是黑客很用心的地方,难道你要人资“用肉眼扫毒”吗?
另一个诈骗很简单叫变脸邮件诈骗(Business Email Compromise, BEC),黑客模仿供应商来往信件,邮件地址只有差一个字,比方O打成0,银行行员看跟往常往来信格式一样,没有看清楚,例行汇款就导出去了,行员必须提高警觉。
