社交工程电子邮件威胁信息安全
电子邮件虽然为企业内外沟通带来相当程度的便利性,但面对诸如垃圾邮件、数据外泄、诈骗连结的电子邮件安全管理,也成为许多企业在管理电子邮件时的一大难题。
根据ASRC垃圾信息研究中心(Active Spam-message Research Center),所发布的「2013第三季电子邮件安全趋势」,第三季整体垃圾邮件占比约84%,较上季稍低,垃圾邮件的种类仍以股票类型与减重类的垃圾邮件占最大宗。
值得注意的是,随着Facebook、博客行销越来越热络,贩售Facebook「粉丝」、「按赞」数量,或买博客、网站流量的垃圾邮件也有逐渐上升的趋势。
至于垃圾邮件型态,多半为传统纯文字型态,附件类型的垃圾邮件,在本季占比都略趋缓和。国内区在本季大量出现PDF附件型的垃圾邮件,较过往常见的Office附件类似垃圾邮件更难被侦测,垃圾邮件的档案大小也增大了,更容易占去传输带宽与电子邮件信箱的空间。
而在网擎信息针对亚洲地区所整理的第三季电子邮件威胁样本报告中则指出,本季垃圾信来源国家的第一、二名分别为国内及日本,而美国与台湾则并列第三,依序占整体垃圾信的34.4% 、32.2% 与 3.9%。
网擎信息指出,前两名国家即占了66.6%垃圾邮件量,可见本季垃圾信来源非常集中。俄罗斯及巴西是本年度新进榜的来源国家,各占2.5%及1.5%。本季最多的网页主题为商业类别,显示约有27.2%的垃圾邮件网址会导引收件人前往商业之网页。这一季与金流最直接相关的URL进榜类别相当多,包含:商业、购物、投资理财及在线财务管理。教育议题一直以来皆在榜上,本期更进入第4名,推测可能原因有二:业界人士一直不放弃重返校园的学习心态,以及适逢9月开学准备阶段,也让有关教育的信息,较易引起使用者关注。
电子邮件已成为社交工程的主要攻击管道
至于病毒邮件方面,ASRC指出目前仍以订单、传真通知等各种名义,夹带带有.exe或.scr病毒的压缩附件档为最大宗,大多数病毒都属于后门木马,或病毒下载器;有少部分的病毒会经过比较细腻的伪装,以.docx档为其载体,在其中夹带一个后门木马病毒,ASRC提醒企业要细心提防。
恶意邮件的占比,似乎有略为趋缓的趋势,但并不代表威胁有下降的趋势。第三季较为大宗的恶意邮件,仍以信箱有状况,要求收信人登入自己的信箱帐号口令为主。当受害者电子邮件帐号口令被窃,很可能被利用于伪造发信下单劫走汇款,或做进一步的攻击、窃资利用。
除了窃取电子邮件帐密的邮件外,针对特定单位攻击的邮件,虽然数量极少,一旦攻击成功,则可能带来莫大的冲击。值得注意的是,当这类针对性攻击邮件,如果仿照得与真实情况越相似,并能配合单位内订的各种时程发动攻击,多半单位内已存在未被发觉的窃资事件。
而在趋势科技针对台湾APT攻击现况所发布的「「2013年台湾进阶持续性威胁白皮书」中更指出,电子邮件已成为社交工程的主要攻击管道。由于社交工程电子邮件每次的寄送量都不大,只寄送给目标受害者,不会像垃圾邮件一样出现成千上万的数量,比较不会引起企业网安单位的注意,且社交工程电子邮件的主旨和附件档案名称,都会针对目标受害者来特别制作,以求符合现实,社交工程电子邮件不会重复寄送给不同的单位,都让社交工程电子邮件变得较难被察觉,
前述因素也让企业在面对APT攻击时,常有防不胜防的感觉。趋势科技技术总监戴燊指出,超过80%的受骇组织,并不知道自身企业遭受到APT攻击,而且受骇的目标除政府单位之外,还包含高科技产业、金融业和中小企业等。
其中高科技产业的受骇组织,平均要经过346天才会发现自己遭受到APT攻击,而甚至有些机构花费1019天才察觉到。这当中有77%的组织在发现受到攻击时,已经被黑客取得完全的掌控,却只有50%的受害电脑内会被找出恶意程序。」这也显示出,组织内的IT团队所面临的挑战,不只是发觉问题,而是必须找出保护网络,对抗APT的确切解决之道。
企业应更加重视电子邮件网安问题
ASRC综合2013年以来的观察发现,窃资与入侵电脑后的长期再利用,是现阶段各种邮件攻击的主要演化趋势。ASRC也观察到不少企业遭遇交易邮件遭窜改,藉机窃取货款的案例,提醒企业,如经手汇款相关事宜,汇款帐户最好透过电话与收受汇款方再次确认,以避免任何遭诈的可能性。