匯款詐騙災情頻傳,慎防電子郵件的中間人攻擊 2015-07-08

網路攻擊的型態漸漸改變,過去無償、炫耀或惡作劇型的的入侵與破壞事件,已慢慢式微,惡意攻擊者也開始追求效率與利益,將攻擊成本降低,而攻擊的成果應該要能產生實際獲益,視為其努力的方向。近年來海內外匯款詐騙事件有升高的趨勢,就是一個以低技術難度追求高獲利的顯著例子。匯款詐騙的事件多出現在商務洽談出貨或付款的階段,但事實上,攻擊者多半早已竊取該信箱的郵件一段時間,只是靜待匯款交易時,伺機從中變造匯款帳號,誤導匯款方將款項匯出攻擊者的帳戶。


匯款方收到的合作廠商通知真實郵件


駭客偽造合作廠商的匯款通知,更改了附件的收款帳號資訊及郵件內容

攻擊者如何竊取受害者的郵件?

多半透過三種方式,一種為木馬入侵或直接攻擊郵件系統漏洞,用以取得機敏資訊;一種為透過釣魚郵件騙取被攻擊者的電子郵件帳號密碼;還有一種為直接使用被公開過的弱密碼字典檔,透過SMTP或POP3認證的方式猜測使用「弱密碼」的帳號。「弱密碼」指的是大家慣用邏輯的密碼,它看起來未必簡單,但卻是多數人容易記住的密碼,比方「12345」、「password」、「apple」…等,因為這些密碼多數人容易記住並採用,所以直接使用這些密碼來進行猜測的話,可以大幅度縮短密碼猜測的次數及時間。在ASRC過去調查的經驗中,受到匯款詐騙攻擊的用戶,多半早有從多個IP嘗試收發信,或密碼試誤的記錄。


騙取電子郵件帳戶的釣魚郵件

攻擊者入侵後,多半不動聲色監看往來郵件,伺機模仿偽造匯款郵件

入侵成功的攻擊者多半會不動聲色,持續監看被攻擊者過去以及持續往來的郵件,或者利用取得的帳號密碼,試圖再進一步登入其它系統竊取資料。當交易將發生時,攻擊者會以「中間人」的姿態從中攔截原通知匯款郵件,或者另外發信告知受攻擊者匯款帳戶變更,信的用語及格式都會仿造與原發信者一致,更甚者,還能提供更多相關的資料文件、用印…等,這取決於攻擊者竊取資料的程度。


匯款詐騙示意圖-1


匯款詐騙示意圖-2

匯款詐騙的預防

面對這類的網路犯罪,最好的預防方法就是,在各種金錢交易進行前,一律透過除了郵件以外的第二管道 (例如透過電話),確定交易人員、日期、帳號、款項等資訊,且有任何交易變更也都循此原則透過第二連絡管道再行確認,這會是最保險的手法。其次,才是透過資安設備進行協防。透過資安設備進行協防的方式可從三個主要的方向進行,其一,定時更新並修補各種系統弱點,並做良好的資訊安全規劃與防範,如:社交工程演練、密碼複雜度、密碼稽核及密碼強制定期變更…等;其二,直接透過電子郵件過濾機制攔截或警示異常的郵件,比方是否存在寄件者偽裝,或直接杜絕釣魚郵件與內部人員接觸;另一個方向,則是透過良好的設定,限制公司內部郵件可收信的IP範圍,或者透過防火牆、Log監控機制,用以即時示警及杜絕不合理的收發信IP或者各種疑似猜測密碼的行為。

除了攔截並變造交易郵件的中間人匯款攻擊外,尚有許多假冒公司、展覽邀請、詢價或假合作的詐騙亦不少,這些攻擊所運用的多半是傳統的社交工程騙術,相較於挾帶有滲透疑慮的中間人匯款攻擊,是相對好預防的。中間人匯款攻擊所造成的並不是單一方財務的損失,更可能是波及交易雙方間的信賴及後續合作關係,且中間人匯款攻擊一旦發生,不論詐騙成功與否,都代表著交易雙方內部資訊可能存在相當程度的外洩,需要特別重視並詳細盤查攻擊者的入侵管道及滲透程度。



上一則 回到列表   下一則