假扮 FBI 執法勒索 黑客攻擊秘書最高危

最新報告發現,黑客由針對機構管理層改為攻擊保安措施相對較低的秘書或私人助理,甚至有黑客會假扮 FBI 等執法單位,向機構勒索「罰款」,本港機構要留意了。

如果有睇電視廣告,一定會對近年「核實電郵者身分,揭穿騙徒真面目」的警方廣告有印象。事實上,今天的黑客跟騙子已經差不多,同樣以博取信任來換取更大利益。Symantec 剛公布的互聯網安全威脅報告(ISTR)就發現,黑客由針對機構管理層(C-Level)改為攻擊保安措施相對較低的秘書或私人助理,甚至有黑客會假扮 FBI 等執法單位,向機構勒索「罰款」,本港機構要留意了。

2013 年黑客著眼在同樣有機會接觸大量公司機密,但保安水平卻較低的秘書或私人助理來攻擊。(圖片來自政府宣傳片)

 

今年首季已追上去年全年數字

Symantec 互聯網安全威脅報告(Internet Security Threat Report, ISTR)是該公司每年發表的權威資訊保安報告,為公眾及企業提供全球互聯網威脅活動趨勢及分析。Symantec 形容2013年為「超級洩密年」(Year of the Mega Breach),過去一年,網絡罪犯發動了一連串史上最具破壞性的網絡攻擊。報告顯示在2013年,全球資料外洩上升達 62%,洩漏約 5.52 億個身分,總數超過整個北美洲人口。

另外,2013 年全球前八大資料外洩事件中,每一次都造成至少 1,000 萬筆紀錄的損失;相較之下,2012 年卻只有一次相同規模的大量資料外洩事件,反映黑客放棄小額獲利的快速攻擊方式,轉而進行長時間潛伏,準備一次性的大規模攻擊計劃。

而出席發表會的香港電腦保安事故協調中心(HKCERT)高級顧問梁兆昌,更表示 2014 年首季該中心接獲的保安事故案例,幾乎已跟 2013 年全年數字相若。他警告本地機構不要以為只是外國才會受到攻擊,香港同樣也是黑客目標,本地機構不能掉以輕心。

HKCERT 高級顧問梁兆昌表示 2014 年首季接獲的保安事故案例,幾乎已跟 2013 年全年數字相若。

 

秘書、私人助理最高危

Symantec 報告中提到,相比 2012 年黑客針對掌握最多公司機密的機構管理層(C-Level)來攻擊,2013 年黑客著眼在同樣有機會接觸大量公司機密,但保安水平卻較低的秘書或私人助理來攻擊。「由於所有人都知道管理層的 IT 保安重要,所以會花費很多資源在這上面,黑客攻擊自然困難。比較起來,秘書要處理很多機密文件,但卻往往沒有高度的保安措施保護,所以成為捨難取易的黑客針對目標。」Symantec 香港系統工程經理李輝說。

李輝提到,黑客會引誘秘書或私人助理打開夾雜惡意程式代碼的文件,事前會做很多背景資料搜集,例如掌握你的客戶資料和習慣,務求令騙局更逼真。政府廣告裡假扮「陳秘書」絕對不是誇張,而且黑客只是騙秘書「打開文件」,而不是入錢到可疑戶口,秘書相對會戒心較低,成功機會自然更高。

「黑客會夾雜內附惡意代碼的文件在郵件中寄給對象的秘書,然後扮成客戶公司的高層,打電話給秘書要求對方開啟。如果對方不是很熟識的話,秘書可能不想得失客戶下而開啟了文件,那秘書就會中招。惡意程式可能會潛伏偷取機密,亦可以作為跳板入侵機構管理層電腦,秘書在不知情下成為了黑客幫兇。」李輝說。

李輝表示惡意程式可能會潛伏偷取機密,亦可作為跳板入侵管理層電腦,秘書在不知情下成為了黑客幫兇。

 

假扮 FBI 執法勒索

另外報告中亦到,近年以惡意軟件鎖上受害人電腦的勒索方式有回升趨勢,而且這些黑客不會再假扮防毒軟件引目標安裝,而是假扮成 FBI 等執法機關,要求受害公司「繳交罰款」才能重新開啟電腦,但大多數受害公司在付錢後都無法回復正常的。

「黑客以前會在網站裡彈出警告,說受害人電腦已『中了病毒』,要安裝他們提供的免費防毒軟件才能清除。但其實下載的是惡意軟件,安裝後就會鎖上了電腦,要向黑客繳交贖款才能開啟。但這些案例大多數都是付錢後都不能回復正常的。但由於愈來愈多人知道黑客這種手法,不會再中計,因此黑客就改變做法,假扮執法機關變相勒索。」李輝說。

「現在黑客在目標電腦裝了惡意程式後,就會用『你的電腦用了盜版軟件』或其他名義,鎖上目標的電腦,要求繳交『罰款』才能放行。」李輝說。由於很多公司都擔心被捕和惹上官非,加上沒想過黑客會假扮 FBI 來勒索,加上很多公司都有做過若干可能侵權的行為,心虛之下自然立即付款,讓黑客得逞。Symantec 建議企業教育員工,提供指導方針或防護資訊,以避免中計之餘,也不會自己大意而外洩機構的資料。

 

黑客會假扮 FBI 來勒索,企業不虞有詐就會中招。