RUN!PC｜業界動態｜資訊安全｜ASRC 2019 年電子郵件安全回顧

根據ASRC 研究中心 (Asia Spam-message Research Center) 與中華數位科技的觀察，2019 年垃圾郵件與病毒郵件的數量呈現均勻分布，但是相較於 2018 年，數量稍有成長。郵件量爆發、詐騙郵件與釣魚攻擊在 2019 年第四季消費旺季時達到全年高峰；BEC詐騙郵件的數量雖然降低，並不表示 BEC 詐騙的風險跟著下降了，相反的，BEC 詐騙郵件顯得更有策略性。CVE-2014-4114、CVE-2018-0802、CVE-2017-11882這三個 Microsoft Office 文件漏洞利用全年可見；2019 第一季被揭露的 WinRAR 漏洞，皆被用於APT攻擊或是滲透測試、紅隊演練。

BEC 詐騙郵件數量減少，不代表風險跟著降低
2019年 BEC 詐騙與 419 詐騙郵件總量相較 2018 年的總量下降；雖然 BEC 詐騙郵件下降的幅度高於 419 詐騙，並不表示 BEC 詐騙的風險跟著下降了。相反的，BEC 詐騙郵件顯得更有策略性，駭客不會過早介入商談中的交易，也減少接觸不必要收到 BEC 郵件的人員，以提高 BEC 詐騙的成功機率。

信任來源飽受挑戰，熟知的網域連結、熟人的郵件都可能隱藏惡意攻擊
電子郵件的可信度不斷的受到挑戰，在 BEC 事件頻傳的情況下，對於郵件中提及異常的變更事項，都需要特別留意，尤其是匯款帳號變更，一定要透過電子郵件以外的管道再次進行確認。其次，需要特別注意的是在電子郵件內的超連結。並非超連結帶有可信賴的網域名稱就不會有威脅，也不是所有惡意的超連結都必然會下載惡意程式，或需要被攻擊者配合輸入帳號密碼相關資料，畢竟，並非所有人使用網路服務都會隨手登出。在 2017 年開始出現釣魚郵件結合 Google OAuth，就是企圖蒙騙收信人透過點擊一個共享文件的連結，授與攻擊者存取 Google App 的權限，如今類似的手法也開始出現在 Office 365。

最後，白名單一定要慎用，看似來自熟知的同事、供應商的郵件，也有可能隱藏惡意攻擊。供應鏈攻擊是國家級資助的 APT 攻擊常用的手段。攻擊者的主要目標可能具備了很高的警戒意識與防護能力，因此攻擊者可從主要目標的合作對象下手，之後再透過主要目標對合作對象的信任，直接穿過各種防護措施進行攻擊。

釣魚郵件與詐騙郵件氾濫，在第四季消費旺季達到高峰
2019 年帶有惡意連結的電子郵件數量，約是 2018 年的 2.8 倍。釣魚郵件為了取信收件者點擊，多半會使用一些在地化用語及社交工程的手法。由於釣魚郵件主要目的是騙取網路服務的帳號密碼或其他機敏資料，因此多半在點擊之後，會透過瀏覽器連往一個收集這些機敏資料的釣魚網站或釣魚表單，再誘騙受害者輸入其機敏資料。

瀏覽器的開發商也注意到類似的問題，於是紛紛在網址列加入了檢查與提醒的功能，希望能藉此保護使用者。然而攻擊者也改變了做法，在電子郵件中直接夾入一個惡意的靜態 HTML 頁面，誘騙收信人填入機敏資料，但是這個頁面透過瀏覽器打開時，網址列顯示的是本地端的儲存位址而非遠端的釣魚網站。當收信人填完資料按下送出後，瀏覽器即以 POST 搭配加密連線的方式，將機敏資料送往釣魚網站，這樣的釣魚手段能略過多數的瀏覽器保護措施。這類型的攻擊郵件，在 2019 年第四季消費採購高峰期大量出現。

Office 文件漏洞經典穩定，駭客依舊愛用
經典穩定的 Office 文件檔漏洞，一直是攻擊者愛用的武器之一。除了作業人員、防毒軟體對文件型檔案的警覺性較低外，許多人所使用的 Office 不會經常性的更新。據 ASRC 統計，2018 年最常見的郵件漏洞利用攻擊為 OLE 漏洞與方程式漏洞2019 年，CVE-2014-4114 仍持續被利用，且在第三季爆發相當大量的攻擊樣本，主要目標產業為電子、食品、醫療相關產業；CVE-2018-0802 則做為 CVE-2017-11882 其後續的衍生變形攻擊持續存在。2020 年初甫被披露的 CVE-2020-0674 及其後續影響力，也需持續關注。

公司名稱：中華數位科技股份有限公司
連絡電話：02-25422526
網址：http://www.softnext-inc.com

回首頁...

關於RUN!PC｜廣告刊登｜聯絡我們｜讀者服務｜雜誌訂閱｜出刊&補寄時間