DNS (下)

網域名稱系統安全擴充(DNSSEC)

經歷上述的資安問題,為了解決使用者無法辨識收到的資訊是否有遭到竄改,因此,網際網路中,出現了「網域名稱系統安全擴充 (Domain Name System Security Extensions, DNSSEC)」。

在DNSSEC中,為了確保網路DNS的使用安全,使用了兩項相關技術:數位簽章以及DNS延伸安全協定(Extension Mechanisms for DNS, EDNS)。

DNSSEC與數位簽章

數位簽章

此協議主要是確保DNS 權威主機中的資料都是未經有心人士竄改之資料。當DNS權威主機收到請求後,在回覆訊息中,會放入含憑證之RRSIG。此時,DNSSEC並不會直接傳遞明文之資訊,會透過加密密鑰對發送之DNS訊息透過雜湊函式(hash function) 進行雜湊運算,經雜湊後之文件稱作「雜湊摘要 (Digest)」。並將此雜湊摘要(明文經雜湊後產生之雜湊值),以DNS權威主機之金鑰進行加密,此時,權威主機將訊息明文及加密後之雜湊摘要同時傳給DNS伺服器。

DNS伺服器收到後,會透過DNS權威主機金鑰(DNSKEY)進行解密。同時,為了確認該金鑰確實屬於此網域所有,因此將位於上一層之DNS權威主機中之DS (Delegation Signer) 進行驗證,確保金鑰沒有被偽裝或竄改。

DNS伺服器確認過後,將加密過之雜湊摘要以權威主機的金鑰解密,以取得完整雜湊摘要。此時若成功解碼,則代表此封包確實為該DNS權威主機所傳遞;否則若該封包非該權威主機傳遞,以該權威主機之金鑰無法解密。同時,再以同樣雜湊函式將明文進行雜湊運算,取得其雜湊摘要。最終,DNS伺服器會將本身運算出之雜湊摘要,和收到的雜湊摘要進行比對,若經他人竄改,即便是肉眼難以辨別之空格,均會造成雜湊數值之大幅變動;若相同則代表未經他人竄改。

如此,DNS伺服器便可透過以上動作確認:(1)該訊息確實為該DNS權威主機發送、(2)訊息未經他人竄改、(3)DNS權威主機無法否認發送此封包。

目前,各大DNS廠商均開始進行DNSSEC之運作,以確保大眾使用之安全性。同時,網際網路名稱與數字位址分配機構(ICANN)也於本月發文公告,敦促全球網域相關產業全面採用DNSSEC。DNSSEC可以完全相容於舊有DNS架構,並且可以大幅避免DNS紀錄被竄改之問題。為了DNS的安全,ICANN正努力進行推廣和執行,希望能及早促成DNSSEC之普及。

👉HINT:DNSSEC可以看做寄送機密信件。傳送者為了保護手中機密文件,因此將內容以中英文鍵盤對照轉換的方法編撰成一般人看不懂的密碼,然後再用帶鎖的盒子鎖起來,和機密文件一起送出去。接收者會將從傳送者那收到的鑰匙將盒子解鎖,代表確實是傳送者所寄。接著將收到的機密信件透過同樣方式編撰成密碼,再和帶鎖盒子中加密文件比對,若相同則代表沒有被任何人修改其中文字。

NSEC

以舊有DNS而言,若使用者查詢之網址並不存在,DNS權威主機僅會回覆使用者「不存在」之訊息。但未添加任何驗證訊息的「不存在」封包,很有可能會被有心人士擷取後,用以對一般使用者在查詢正常網域時,發送該網域不存在之訊息,導致使用者無法取得正確網域資訊及連接該網站。

因此,除了上述DNS訊息外,此機制會替此「不存在」之訊息進行簽章,以保障使用者取得「不存在」訊息,代表此網頁是確實不存在,而非他人偽造該訊息。回應並包含驗證之「不存在」之紀錄,稱作NSEC。

NSEC,全名為Next Secure,主要用以解決負面回應訊息(「不存在」訊息)之問題。此紀錄主要是將該網域下,所有的網域名稱進行排序,並透過兩者網域間之空隙,取得該被查詢網域之前後網域名稱做為紀錄並回傳。

這樣描述有些難以理解,因此舉例而言,若在twcert.org.tw網域下,有a.twcert.org.tw、ma.twcert.org.tw、pop.twcert.org.tw、te.st.twcert.org.tw、let.twcert.org.tw、move.twcert.org.tw等6筆網域名稱,則在該網域下,此些網域名稱會被排序為:

twcert.org.tw

a.twcert.org.tw

let.twcert.org.tw

ma.twcert.org.tw

move.twcert.org.tw

pop.twcert.org.tw

te.st.twcert.org.tw

此時,若使用者查詢love.twcert.org.tw,則使用者會獲得理論上於該查詢網域的前一筆和後一筆,亦即前一筆let.twcert.org.tw以及後一筆之ma.twcert.org.tw,代表兩者之間並無love.twcert.org.tw網域,因此驗證確實該網域並不存在。同時,若該訊息被有心人士擷取,由於有網域之驗證,此訊息也無法用於一般使用者查詢網域之偽造訊息,保障「不存在」之訊息正確性。

👉HINT:NSEC可看作將號碼牌按照上面數字排放,例如已經排放了1、2、3、5、6、7、8、10、12,若此時,有一位一號使用者來信要求取得9號號碼牌,負責人卻發覺並無9號號碼牌,因此回信給一號使用者說明並無此號碼牌之狀況。若該信中僅說明沒有9號號碼牌,而無其他驗證資訊,則一號使用者可以在另外的二號使用者要求10號號碼牌時,將那封信偽造成負責人所寄,告訴二號使用者沒有10號號碼牌,導致二號使用者拿不到該號碼牌。而若當初負責人告之一號使用者的信中除了告知沒有9號號碼牌之外,同時也說明前面是8號、後面是10號,確定中間無任何號碼牌,則收到此封信的一號使用者,即便他想欺騙二號使用者,卻會因為裡面的驗證訊息(8號和10號號碼牌資訊)而偽造不成,避免了一次詐騙。

DNSSEC與EDNS

EDNS,又稱為EDNS0,全名為Extension Mechanisms for DNS,譯為DNS延伸安全協定。是DNSSEC中的一項技術,主要用於提升DNS運作之安全性。

有鑒於DNSSEC的建立和發展,其所需之功能訊愈來愈多,若維持以往之DNS形式,所需的功能標示將難以以舊有格式完整表達。因此,在舊有的DNS封包中,延伸出更多的區段,用以支持未來期望表達的特徵值。

例如當初的DNS封包是使用UDP Port 53封包進行傳輸,本身大小限制為512 bytes。若以過往的DNS封包所應傳輸之內容而言是足夠的,但在DNSSEC中,由於增添了數位簽章的部分,其封包大小在包含數位簽章資料後已不足以負荷。而若此時使用EDNS,可以將其封包大小上限大幅增加,可容納4,096 bytes的資料,如此,方可將DNSSEC所需資料內容完整地進行傳輸。

DNS封包

在DNS所傳輸的封包中,分為許多欄位,例如表頭(Header)、查詢區域(Question Section)、回覆區域(Answer Section)、授權區域(Authority Section)以及額外紀錄區域(Additional Records Section)。

表頭主要標示此封包之編號、描述此訊息封包的功能,例如此封包為查詢或是回應用等、以及相關紀錄的數量。查詢區域,則是用以描述問題名稱、型態(是查詢IP位址、名稱伺服器……等等),以及問題類別(是否為IP位址格式)。

回覆區域則是記錄權威主機所回應之資料,例如資源名稱(針對哪一個問題進行回覆)、資源型態(對應查詢區域中的型態)、資源類別(對應查詢區域中的問題類別)、存活時間(封包傳送時存活的時間,若過久未到達目的地則會進行刪除)、資源資料長度(表示資源資料的長度),以及資源資料(詢問回覆之答案)。

第三、授權區域,此區域並非使用者詢問問題之確切答案,而是在DNS詢問中,上層之其他DNS權威主機之資訊,引導DNS伺服器對上層之DNS權威主機進行詢問,直到得到答案為止。

最後,額外記錄區域則是當授權區域有除上述訊息外之額外訊息,方放入額外紀錄區域。

EDNS

對於EDNS,DNS伺服器不一定有支援EDNS,因此,為了標示該伺服器是否有支援EDNS,會在Additional Records Section中,加入一「opt」資訊。此時,若權威伺服器收到該封包,發覺額外紀錄區域有「opt」資訊,則可知使用者之DNS伺服器有支援EDNS,並且於回覆時,也會於額外紀錄區域加上opt資訊進行回覆,代表此為EDNS封包。

但此封包為EDNS封包,卻不一定為DNSSEC封包,必須於EDNS訊息中的「do」區域被設定為1時,方為DNSSEC封包。

支援EDNS後,由於擴展了針對其他的DNS所需功能表達之特徵值欄位,並且亦擴增了封包大小限制,因此,除了DNS訊息傳遞時,可以包含數位簽章之資訊內容外,亦可以包含舊有DNS未能包含之特殊特徵值,讓DNS的運作更加安全。

由於意識到EDNS的重要性,在今年的二月一日,Clouflare、Google、IBM等大型公共DNS業者進行了EDNS的符合性驗證。雖此次驗證僅有一天時間,但同時也是期盼未來EDNS發展的起點。

👉HINT:EDNS就像是一小手拿包,雖然平常放錢包手機已經足夠,但是當外面天氣不好、下雨時,雨傘便放不進去;或者帶著讀到一半的書籍,想去舒適的咖啡廳閱讀,但是A5大小的書籍,一般小型手拿包亦放不下去。因此,可以拿一較大的包,將手拿包放入大包中,並且將雨傘、書籍都排放進去,如此一來,便可容納所需的大部分東西,甚至不需對手拿包進行改造便可。

DNSSEC

透過數位簽章及EDNS的運作,DNSSEC額外確保三項資訊安全項目:

  1. 資料完整性 (Data Integrity):確保收到的資料是完整的,未經有心人士等第三者進行竄改。
  2. 來源可驗證性 (Origin Authenti-cation of DNS Data):確保資訊的寄送者為正確之DNS權威主機/DNS伺服器,而非收到有心人士偽造出之假資訊,被導入錯誤之釣魚網站。
  3. 可驗證之不存在性(Authenti-cated Denial of Existence):確保當使用者收到「該網址/位址不存在」訊息,可透過NSEC進行驗證,驗證該網域確實不存在,而非遭他人竄改。

為了彌補DNS亦遭受有心人士攻擊之問題,開啟了DNSSEC的技術。如此一來,可以大幅減少DNS相關駭侵攻擊,保障使用者的運作安全。在台灣,許多電信業者已紛紛跟進,根據台灣網路資訊中心(TWNIC)之註冊機構資訊,截至目前,中華電信、亞太電信、pchome、新世紀資通、台灣大哥大、Neustar、中華國際通訊網路、Gandi SAS、Key-Systems GmbH等,均已註冊並使用DNSSEC服務。期盼未來有更多相關業者參與及使用DNSSEC,令使用者擁有一個完整且安全的完善網路,不再被不法人士劫持,能真正自由安心地使用網路服務。

資料來源:

  1. http://www.cc.ntu.edu.tw/chinese/epaper/0022/20120920_2206.html
  2. http://www.myhome.net.tw/2011_03/p03.htm
  3. https://www.lijyyh.com/2012/07/dnssec-introduction-to-dnssec.html
  4. https://medium.com/@sj82516/dnssec-%E5%9F%BA%E6%9C%AC%E5%8E%9F%E7%90%86%E4%BB%8B%E7%B4%B9-65841439d0a5
  5. https://blog.longwin.com.tw/2019/01/dnssec-dns-sign-edns-check-2019/
  6. https://blog.twnic.net.tw/2019/01/23/2286/
  7. https://blog.csdn.net/star_xiong/article/details/40429457
  8. http://net.ndhu.edu.tw/~net/DL/20110330.pdf
  9. https://en.wikipedia.org/wiki/Extension_mechanisms_for_DNS
  10. http://dnssec.nctu.edu.tw/images/DNSSEC/DNSSECtech.pdf
  11. http://www.myhome.net.tw/2011_07/p05.htm
  12. https://www.twnic.net.tw/dnservice_company_intro.php

參與賽門鐵克網路安全威脅報告(Internet Security Threat Report, ISTR)

台灣電腦網路危機處理暨協調中心(TWCERT/CC)及台灣網路資訊中心(TWNIC)副執行長丁綺萍,參與ISTR-2019,講述對於我國資安趨勢的通報及相關研究結果。

台灣網路資訊中心於今年(2019年) 1月正式承接台灣電腦網路危機處理暨協調中心業務,並於1月至2月期間,處理了超過10萬筆之資安情資。在這些通報中,其受資安威脅的來源國家,中國佔了約60%、第二則是佔了9%的美國,再者為法國、香港、越南……。若以資安威脅之類型而言,是以對外攻擊以及系統被入侵兩種類型為大宗,尤其對外攻擊更佔了所有資安通報數量50%以上。其餘之殭屍電腦、可疑連線、惡意遠端操作、釣魚網頁、網頁木馬以及散播惡意程式,則相對少量。

在對外攻擊事件中,是針對本中心接獲之台灣IP資安通報,亦即台灣使用者透過台灣IP對其他系統或裝置進行攻擊。在這些對外攻擊之通報中,其中有部分之攻擊IP,可能是被有心人士在不知情的狀況下,做為跳板來對其他系統/裝置進行攻擊的動作。但自接獲的通報中,本中心難以探查該攻擊IP是否是遭受他人利用,因此統一歸類於「對外攻擊」類型。

雖本中心會在接獲通報後,立即告知網路提供業者進行處理,但相關問題仍然層出不窮,希望能透過此些數據之分享,提高民眾對於裝置和網際網路的警覺,將資安事件的數量以及程度降到最低。

偽造的瀏覽器更新通知再度泛濫,可能導致電腦遭勒贖

資安研究單位發現偽造瀏覽器更新通知的惡意活動再度增加,會在用戶電腦或手機中安裝勒贖軟體。

資安研究網站 Security Boulevard 指出,最近該站發現偽造瀏覽器更新通知的惡意活動再度增加;當受害者誤判而安裝了「更新軟體」時,實際上可能被安裝勒贖軟體或會入侵網銀的惡意軟體。

Security Boulevard 指出,受害者在瀏覽含惡意軟體的網站時,會看到偽造的「更新中心」彈跳視窗,指出「瀏覽器發生嚴重錯誤 (Critical error),需立即更新,否則可能造成資料損壞、個資外流等問題」;當用戶按下更新按鈕後,實際上下載的是惡意軟體。

該報導指出,下載的惡意軟體會偽裝成 JPG 檔案,除了 Windows 電腦易受攻擊外,甚至還有 Android 版本。許多以 WordPress 網站都遭到感染,駭客多半是將惡意程式碼塞在 footer.php 這支 WordPress 系統程式中。

常見的掃毒軟體大多可成功發現並提出警告,該報告也建議網站經營者也應在伺服器端安裝掃毒軟體,避免自己的網站被駭客注入惡意程式碼。

資料來源:

https://securityboulevard.com/2019/02/fake-browser-updates-push-ransomware-and-bank-malware/

去年第四季 DDoS 攻擊量體大減 85%

在 FBI 破獲並關閉 15 個「代客 DDoS」網站後,去年第四季全球 DDoS 攻擊量體大減 85%。

資安廠商 NexusGuard 發表研究報告,指出近期全球 DDoS 攻擊事件的量體,較過去大幅減少。

DDoS 減少的主因,是由於美國聯邦調查局在去年破獲了 15 個代客進行 DDoS 攻擊的網站,這些網站的網域也被美國司法部撤除。

研究報告指出,這些代客攻擊網站自 2014 年起,至少發動了二十萬起 DDoS 攻擊;而在 FBI 破獲這些網後,整體的 DDoS 攻擊事件,不論平均次數或最大攻擊量都大幅減少。

不過該單位也警告,雖然代客進行 DDoS 的攻擊減少了,但這只是 DDoS 攻擊形態的一種,透過 botnet 進行的 DDoS 攻擊仍十分常見,攻擊量體也未見降低。

資料來源:

  1. https://threatpost.com/threatlist-ddos-attack-sizes-drop-85-percent-post-fbi-crackdown/142907/
  2. https://www.nexusguard.com/threat-report-q4-2018

研究指出筆記型電腦 USB 插孔,比一般所知更易遭駭

英國劍橋大學與萊斯大學的最新研究指出,配備 USB C 連接埠的當代筆記型電腦,較一般認知更易遭到駭侵。

兩所大學的資安研究人員,日前在網路與分散式系統資安研究會上發表研究報告;報告指出目前用以保護筆記型電腦 USB 插孔的 IOMMU (輸出入記憶體管理單元),並不足以完全發揮其應有的保護作用。

研究人員自製一稱為 Thunderclap 的測試工具,用以插入受測電腦 USB C 連接埠,觀察電腦反應;結果證實駭侵者能透過 USB 埠,順利取得受害電腦的控制權。可被駭入的系統包括 Windows、macOS、Linux 與 FreeBSD。

研究人員指出,許多透過 USB C 連接的裝置,都具有「直接記憶體存取」(DMA)能力,能夠跳過作業系統監控,存取電腦的主記憶體; IOMMU 的設計目的,就是要防止惡意裝置存取未經許可的記憶體內容,以免重要資料遭竊。然而該系統在許多電腦上是可以關閉的,甚至即使該系統開啟了,還是有被駭入的可能性。

研究人員建議用戶要經常更新作業系統,以取得最新漏洞修補;但更重要的是,要避免在自己的電腦上插入不明周邊裝置。

資料來源:

  1. https://www.cam.ac.uk/research/news/most-laptops-vulnerable-to-attack-via-peripheral-devices-say-researchers
  2. http://thunderclap.io/thunderclap-paper-ndss2019.pdf

美國雲端企業服務大廠 Citrix 遭駭,6TB 文件恐遭伊朗駭客竊走

Iridium 駭客組織是使用一種稱為「密碼噴灑攻擊」(Password spraying attack) 的方式入侵 Citrix;這種方式是利用一些簡單的「萬用密碼」大量嘗試登入同一組織中的許多帳號,可以避免追蹤。

資安廠商 Resecurity 發表報告指出,該單位發現一名為「銥」(Iridium) 的伊朗駭侵團體,入侵了多個美國政府單位、承包商、瓦斯與石油公司,甚至包括企業雲端服務大廠 Citrix。

據報告指出,Citrix 是在去年耶誕假期間遭到 Iridium 駭入;除了這份報告外,FBI 也在今年三月六日前往 Citrix 進行相關調查。

據媒體報導,Citrix 共有多達 6TB 文件資料可能遭駭客竊取;至於文件含有哪些機密內容,目前仍在調查中。 

由於 Citrix 提供許多美國政府單位和中大型企業的雲端服務,也包括遠端存取在內,所以這起駭侵事件中外流的機密資料可能牽連甚廣。

資料來源:

  1. https://www.citrix.com/blogs/2019/03/08/citrix-investigating-unauthorized-access-to-internal-network/
  2. https://resecurity.com/blog/supply-chain-the-major-target-of-cyberespionage-groups/
  3. https://doubleoctopus.com/security-wiki/threats-and-tools/password-spraying/

川金會進行時,北韓駭客持續攻擊美國與盟國單位

正當河內的川金會從籌備、兩人會面到破局,這段期間內北韓駭客依然沒有放鬆對美國及其歐洲盟友的網路攻擊力道。

紐約時報報導,近一年半來,北韓駭客不斷對美國、歐盟及其他盟邦的公家機關、私營企業等單位進行駭侵攻擊,甚至在川金會期間也不放鬆。

資安公司 McAfee 研究指出,自 2017 年以來,北韓駭侵團體不斷試圖駭入美國與其他盟國的銀行、公用事業、石油和瓦斯公司;不論雙方關係緊張還是和緩,攻擊行為都沒有減少。

McAfee 研究人員透過駭入北韓駭客使用的伺服器,直接即時目擊北韓駭客攻擊美國與世界其他國家公司行號的行為,受駭公司多達一百家以上。

駭客利用與北韓友好的納米比亞網路當做跳板,對各國重要公司的內部網路進行攻擊;攻擊目標主要分布在美國紐約、休士頓,以及主要盟邦重要城市的公司,如倫敦、馬德里、東京、特拉維夫、羅馬、曼谷、台北、首爾、東京、香港;甚至連俄羅斯和中國的城市也包括在內。

北韓駭客駭入這些公司的目的尚不明確,但遭攻擊的,多是公司的工程技術人員或高階主管,因為這些人能存取該公司機密資訊或智慧財產。

資料來源:

  1. https://www.nytimes.com/2019/03/03/technology/north-korea-hackers-trump.html
  2. https://www.thesun.co.uk/news/8555223/north-korean-hackers-hit-us-european-banks-trump/

巴基斯坦政府網站遭駭客植入按鍵記錄軟體

巴基斯坦政府機關網站日前被發現遭駭客植入按鍵記錄軟體,可能已有數百人受害。

新加坡電信旗下的資安廠商 Trustwave 日前發表研究報告指出,該公司發現巴基斯坦主管移民與護照發放事務的政府官方網站,遭到駭客植入按鍵記錄軟體。

報告指出該網站被植入的是 Scanbox,用戶一旦在受感染的網站上登入,Scanbox 的 Javascript 程式就會收集用戶的各種資訊,包括使用的電腦和所有按鍵。Scanbox 是許多「先進長期威脅」(Advanced Persistent Threat)駭侵組織常用的惡意軟體。

該網站的功能主要供巴基斯坦護照申請者追蹤申請進度,Trustwave 是在三月二日首次發現該站遭植入Scanbox,光是當天就有至少七十人被 Scanbox 竊取資料,其中三分之二還輸入了登入資訊。

Trustwave 指出,雖然他們立即通報巴基斯坦當局,但並沒有收到回應,而該網站內的 Scanbox 也尚未移除。二月底時孟加拉駐開羅大使館網站也遭到同類攻擊。

資料來源:

  1. https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/attacker-tracking-users-seeking-pakistani-passport/
  2. https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/bangladesh-embassy-website-in-cairo-compromised/

華碩電腦 Live Update遭駭,百萬使用者恐安裝惡意軟體

原本提供即時更新,保護使用者的資訊安全的華碩Asus Live Update,近日被資安公司卡巴斯基公布,此更新機制遭受駭客攻擊利用,變成使用者安裝惡意軟體的一大捷徑。

為方便使用者,華碩(Asus)開發了一款自動、即時的軟體更新工具程式—Asus Live Update,附於華碩筆記型電腦內,當電腦開機時會自動開啟,連入華碩網站檢閱是否有華碩相關軟體更新版本,並進行自動更新。

此項方便的即時更新工具程式,卻在去年(2018)6月至11月間,遭受有心人士透過未知管道獲得之合法華碩數位憑證,將後門或惡意程式植入被更新之軟體中,大量散播惡意軟體,此事件之攻擊手法被稱作「ShadowHammer」。

ShadowHammer攻擊事件

今年(2019)1月時,卡巴斯基公司應用了新的供應鏈攻擊(Supply Chain Attack)相關檢測技術,用以檢測合法程式中被隱藏的異常部分,因此發現華碩電腦可能遭駭並遭植入惡意軟體。在被發現之前,此攻擊可能已經持續了半年以上,影響範圍可能相當大。

Asus目前表示已主動聯繫可能遭受攻擊之用戶,並且提供檢測以及更新之相關服務,也透過客服專員協助相關用戶解決問題,同時亦會持追蹤,確保使用者資訊安全無虞。

除了協助使用者,華碩已針對該軟體進行升級為全新多重驗證機制,針對此次事件的各種可能漏洞,強化其加密機制,確保事件不再發生。

檢測及建議措施

在ShadowHammer攻擊中,目前已經在200支惡意程式樣本中,查出約600個不同的MAC位址,未來將會對更多樣本進行檢測。卡巴斯基也提供擔心的使用者於其網站中(https://shadowhammer.kaspersky.com/),查詢自己電腦是否有問題。同時,華碩已提供ShadowHammer的檢測工具 (https://dlcdnets.asus.com/pub/ASUS/nb/Apps_for_Win10/ASUSDiagnosticTool/ASDT_v1.0.1.0.zip?_ga=2.20570680.1823363715.1553584600-974246282.1552277686),供擔心的民眾用以檢測電腦是否有被攻擊。

若民眾仍擔心安裝到惡意程式,建議可至「系統設定」視窗中,將「服務」和「啟動」標籤下的Asus Live Update選項取消,停止該程式的開機自動啟動。並且將Asus Live Update更新至最新V3.6.8或是更高的版本。且除非作業系統等較重要之升級,驅動程式不需持續更新,若真的需更新,使用者可直接於官網下載更新,不應透過其他軟體下載安裝,以避免遭植入惡意軟體。

資料來源:

  1. https://securelist.com/operation-shadowhammer/89992/
  2. https://www.kaspersky.com/blog/shadow-hammer-teaser/26149/
  3. https://www.asus.com/tw/News/IsyIB2Q5VN9N1Y3w

請小心您收到的Email,究竟是真是假?!

近期發現「竄改商務電子郵件」詐騙案例近期案例,臺中市某鞋品貿易公司遭詐騙集團鎖定,掌握林姓業務與國外合作公司(下稱A公司)有筆應付款項,仿照A公司業務的電子郵件帳號「xxxxxdaixx@163.com」,設立名稱相似的「xxxxxdeaixx@163.com」假帳號發信給該名林姓業務,謊稱原帳戶因稅務問題進行整併中,要求變更匯款帳戶至瑞典北歐斯安銀行之境外帳戶,林姓業務所屬公司因與A公司長期合作,遂不疑有他,直接以傳真銀行方式匯出臺幣數十萬元。孰料5天後,A公司通知並未收到匯款,林姓業務連忙找出當初聯繫之電子郵件內容,發現假帳號竟多了1個e字母,「e」字之差使公司損失達數十萬元。

  • 經分析是類詐騙手法略述如下:
  1. 詐騙集團攔截被害人公司交易信件,並申請與企業客戶電子郵件地址相似度極高的假郵件使之混淆(如前揭案例僅多一字母「e」,歹徒所設「xxxxxdeaixx@163.com」電子郵件與原本「xxxxxdaixx@163.com」極為相似)。
  2. 模仿原本往來郵件語氣發信給被駭企業之客戶,騙取企業或客戶變更匯款帳戶,藉機詐騙被害人將貨款匯至詐騙集團所預設帳戶。

取得企業客戶的信任而匯款,俟原受款客戶反映未收到貨款時,方知受騙。