今日(8/5)有報導稱港珠澳大橋工程顧問公司奧雅納(Arup)的工地寫字樓有伺服器遭勒索軟件攻擊。事實上,不少勒索軟件都是靠電郵傳播。有調查指出,香港於 2016 年每 70 封電郵就有 1 封包含惡意程式和連結,到底不法分子如何有甚麼手段使收件人容易「中伏」?
香港每 70 封就有一封電郵屬惡意 比例較全球平均高
Symantec 以及香港電腦保安事故協調中心(HKCERT)今日回顧了 2016 年的網絡攻擊事件。Symantec 的《互聯網安全脅威報告》指出,去年全球平均每 131 封電郵便有一封包含惡意連結或附件,創五年新高;香港的問題便更加嚴重,每 70 封就有一封是惡意,較前年增加一倍。
與此同時 HKCERT 去年錄得 6,058 宗事故報告,當中網絡釣魚便佔 32%,為第二大的威脅類別,可見香港惡意郵件的問題不容忽視。
惡意郵件比精密惡意軟件更常用
Symantec 大中華區首席運營官羅少輝指,黑客很多時不是利用精密的惡意軟件來入侵電腦,而是靠簡單的惡意電郵。故此,社交工程在黑客行為中已變得愈來愈重要。
其實惡意電郵可以分為數類。第一是蘊含惡意程式的電郵;第二為冒充正當人物、機構的釣魚電郵。
有些釣魚電郵為漁翁撤網地散播,但有些釣魚電郵有特定的攻擊對象,這手法稱為「魚叉式網絡釣魚(Spear Phishing)」。例如去年美國大選期間,民主黨競選團隊主席 John Podesta 便收到一封假冒 Google 的電郵,訛稱帳戶被入侵,要求重設密碼,結果他在假的 Google 登入頁輸入密碼,電郵內容就這樣被他人盜取了。
不法分子亦會以魚叉式網絡釣魚來策劃商業電郵詐騙(Business Email Compromise, BEC)。另一間防毒軟件公司趨勢科技早前便預測,商業電郵詐騙及商業程序詐騙(BPC)會在今年繼續成為有效率及相對簡單地針對商業機構的行騙手法。早前 Unwire.pro 便報導,即使著名如 Google 和 Facebook 亦被假的商業電郵騙取近 1 億美元。
exe 附件易起疑心 改用 Word 巨集入侵
到底不法分子如何增加釣魚郵件的「可信性」呢?羅少輝引用 Podesta 收到的釣魚郵件表示,首先內容的格式會與真實的電郵一樣,都包含 Google 標誌以及盾牌標誌;第二,郵件所使用的英文都正確無誤;最後,郵件的上款是直接提及收件人的姓名,而非空泛的「先生、小姐」。
至於惡意附件方面,羅少輝指不法分子已少用 .exe 附件而改用 Word 檔案,因為多數人對 Word 檔案不會起疑,加上文件在未啟用巨集前都不會有惡意行為。事實上,不少惡意程式都是透過 Word 巨集來入侵電腦,例如勒索軟件 Locky、木馬程式 Dimnie 等;而即使副檔名是 .exe,檔案名稱亦會盡量隱瞞,例如傳播勒索軟件 Petya 的惡意電郵附件中,其 .exe 檔的名稱會叫自己為「屨歷」,以求蒙騙人力資源部的員工。
香港生產力促進局資訊科技及業務流程總經理黃家偉則表示,在假扮企業高層的電郵詐騙中,不法分子會先透過各種手段入侵員工電郵帳戶,然後監察他與其他人的電郵對話,以了解企業運作,然後趁高層離港或者長假期時才發放虛假電郵,因為員工通常無法核實電郵內容,亦需要較長時間才察覺異樣。
處理交易前需再三以其他方法核實
惡意電郵當然並非 2016 年唯一的網絡威脅,物聯網裝置的安全亦值得重視。羅少輝引述 Symantec 的研究指,一部無防備的物聯網裝置上線後,只需兩分鐘便遭到攻擊;黃家偉亦表示,去年香港有逾 2,000 個物聯網裝置遭惡意程式 Mirai 入侵。
他們提醒市民必須更改網絡攝影機、路由器等裝置的預設密碼。除此之外,用戶應確保操作系統及軟件維持最新狀態,以及對電郵加倍小心。企業亦必須培訓員工提升對惡意電郵的警覺,處理交易請求時必須採用電話等方法再三核實。