盧紫祥的部落格

儘管網路釣魚相較於媒體上常看到的精密攻擊似乎已經過時，但它仍是一項持續不斷的威脅。有駭客使用網路釣魚新手法攻擊數位貨幣乙太幣用戶，在6天內海撈70萬美元。資安業者趨勢科技在官方部落格發文表示，7月初全球第四大數位貨幣交易所Bithumb的一位員工遭駭，歹徒偷走了一批聯絡人電話、電子郵件地址等，接著歹徒利用偷來的資訊發動一波網路釣魚（Phishing）攻擊，但卻使用以往罕見的手法。同樣地，數位貨幣乙太幣（Ethereum）的用戶也在7月遭到攻擊。根據報導，駭客藉由網路釣魚手法，在短短6天之內海撈了70萬美元（約新台幣2111萬元）。除了數位貨幣之外，美國能源機構與關鍵基礎架構也遭到持續性網路釣魚攻擊，其嚴重程度甚至引起美國聯邦調查局（FBI）和國土安全部關注，並發出警告通知各機關嚴加防範。趨勢科技為了協助使用者了解並防範這些新的威脅，盤點最近幾次網路釣魚攻擊所用的手法和技巧。首先，傳統的網路釣魚詐騙都是假冒知名機構的名義發出電子郵寄，不是誘騙受害者輸入帳號密碼，就是將受害者重導至惡意網站。但前面提到的Bithumb 攻擊案例卻用了一個陳年的老技巧：語音釣魚（vishing）。歹徒利用從Bithumb員工偷來的資料，假冒成Bithumb高階主管打電話給受害者，謊稱受害者的帳戶遭駭客入侵，要求受害者提供密碼和其他重要的帳戶安全資訊。除了語音釣魚之外，前述數位貨幣用戶也遭到了比一般網路釣魚郵件更具針對性的攻擊技巧。這一次，駭客是經由Ethereum subreddit及Slack這類小眾論壇來散發釣魚訊息。歹徒假冒論壇管理員名義，宣稱因為某個熱門的Ethereum錢包已遭駭入侵，因此通知論壇成員檢查自己的帳戶。歹徒成功地從多位上當的成員當中騙取到帳號密碼，並且偷走價值數十萬美元的乙太幣。趨勢科技指出，在美國能源機構所遭到的攻擊中，歹徒將傳統的網路釣魚手法加以翻新，利用電子郵件挾帶一個暗藏惡意巨集的Word文件。當受害的能源機構收到隨附Word格式假履歷表或環境檢驗報告的電子郵件，使用者只要開啟文件，系統就會經由伺服器訊息區（SMB）檔案分享協定從某個外部伺服器下載一個範本檔案。如果下載成功，駭客就能偷偷取得使用者的帳號密碼，該連線是經由微軟使用的TCP 445連接埠。有關網路釣魚的防範原則，趨勢科技表示，針對語音釣魚，在接到來電時，務必仔細觀察對方的行為是否異於該機構以往的處理方式，也參考一下業界的標準作法。若有任何不尋常之處，先斷然拒絕，然後再透過其他管道來進一步深入了解。此外，網路管理員切勿允許像SMB這類的通訊對外連線，除非營運環境有特殊需求。使用者應避免下載任何附件，除非來自於已知且信賴並經過確認的來源；凡是需要額外下載內容或是需要輸入登入憑證才能開啟的附件，必須特別小心。趨勢科技提醒，使用者可利用電子郵件用戶端內建的安全功能來過濾郵件，其中一項功能就是擋掉所有的圖片，等使用者真的想看時再手動核准?