 撰文 / 數聯資安編輯部
防疫期間在家上班,許多人都更加頻繁地檢查郵件、查看通訊軟體,深怕遺漏訊息被誤認為在家打混。然而此刻也正是最容易被釣魚郵件誘騙上當、駭客發動社交工程的時候!試想一封發自總經理或管理階層名為「公司最新防疫政策」的郵件,或是名為「會議通知邀請」的郵件內附線上會議室連結,你能不點嗎?
資安設備買了、防毒軟體也裝了 為何還是被勒索中招?
誘騙使用者自投羅網的釣魚郵件是駭客勒索的老套路,屢試不爽;過去駭客經常利用時事話題製作釣魚郵件,誘騙使用者點擊帶有惡意連結或惡意附件的郵件,一旦點擊,一些後門或木馬程式就暗中下載到用戶電腦,這類釣魚郵件就是典型的社交工程手法之一,也是駭客用來入侵企業內網或發動勒索攻擊的第一步。包括去年在防疫期間,有不少假冒衛福部以「免費分發COVID-19防護設備」或最近採取國人殷切關心的「疫苗施打」為主旨的釣魚郵件,欺騙使用者點開夾帶惡意的內容附件。
駭客甚至鎖定特定企業,假冒該企業人資部門對員工發送疫調郵件,郵件內容詢問員工健康情形,但卻附惡意連結連向偽冒企業內網的釣魚網站,要求員工輸入帳號密碼登入。先前駭客也曾假冒物流公司DHL發送包裹寄送問題的郵件,要求收件人點擊連結下載檔案填妥後回傳,這類鎖定目標的社交工程手法更讓企業員工難以招架。若搭配漏洞問題,當IT廠商發布漏洞修補程式,駭客極有可能搶先研究漏洞攻擊程式,趁目標企業尚未來得及修補前,透過社交工程入侵並觸發漏洞展開攻擊,也因此先前幾家已經相當重視資安的系統大廠紛紛遭到勒索軟體攻擊,原因可能在此。
如今隨著疫情趨於嚴峻,未來各種以疫苗、紓困方案為名的釣魚郵件也極有可能出來魚目混珠。在這樣的情形下,一年做1~2次的社交工程演練足夠提升員工資安意識嗎?許多已建置資安管理系統、通過ISO 27001認證的企業或受到資安法規範的機構,都會被要求須提升員工資安意識,也因此企業組織經常委外安排每年進行1~2次的社交工程演練。然而問題來了,每次演練後的分數報表都顯示同仁資安意識不錯,但實際上卻又往往因為員工資安意識不足而遭受勒索攻擊?! 真相就是〝社交工程演練並沒有被落實或者流於形式〞;這也是導致WFH遠距辦公時期爆發企業資安破口的重要因素之一。 閱讀全文
|
|
