回到首頁
個人.家庭.數位化 - 數位之牆



產業動態 2013 社交工程手法回顧
中華數位科技 本新聞稿發佈於2014/01/20,由發布之企業承擔內容之立場與責任,與本站無關

回顧2013,電子郵件安全防禦趨勢已不再是如何避免垃圾郵件造成產能的浪費,駭客已將其精神轉投注於高效益的社交工程攻擊郵件上,這類社交攻擊郵件大多重質不重量,內容往往讓使用者正中紅心,落入駭客圈套,因此企業更加重視威脅郵件的防禦。

 
■ 發布/輪播新聞稿 新聞稿直達14萬電子報訂戶刊登新聞稿:按此
 
回顧2013年,常見的社交工程攻擊郵件手法有下列幾種:

偽造社群網站通知信
隨著社群網路越益發達,來自社群網站上邀請您加入好友的通知信,到底該不該加入?能不能點擊其中的超連結、附加檔案?建議您三思而後行!許多的惡意攻擊郵件假冒知名社群網站通知信,在其中放入了釣魚網站的連結、惡意檔案,目的是要竊取您的個資或取得您電腦的所有權。而部份由駭客發出的單純交友邀請並沒有放任何的惡意連結或程式,與您「交朋友」只為了觀察您的生活習慣,拼湊出您個人的資訊地圖,之後再做進一步利用。

常用辦公文件成為駭客入侵的工具
早期夾帶的惡意附件往往都是很明顯的病毒執行檔;經過演化,病毒執行檔變成壓縮檔並加密,為的是避開防毒軟體的偵測;而現在最流行的作法則是在電子郵件中置入一般認為安全的文件檔,如.doc、.xls、.pdf、.html…等,或將這些攻擊程式放在網路上,電子郵件內容僅放置簡單的下載連結,這不僅能縮小攻擊郵件的體積,還能躲過大部份的惡意程式檢查,若再冒名為網路管理員或社群網路的來信,攻擊成功的機率將大幅提升!

利用郵件來竊取電子郵件帳密
較常見的是直接偽造成系統管理者發出的郵件,請使用者點擊網址修改帳號密碼,進而獲得使用者郵件帳密;另一種竊取方法,是直接以SMTP認證的方式進行密碼猜測。根據ASRC垃圾訊息研究中心的統計,一般企業在一日內平均每十分鐘約有4-10次無聲無息的密碼猜測嘗試。多數人認為,只要將密碼的長度加長、混合符號、數字與英文大小寫,再加上密碼嘗試次數的限制便可防止密碼遭到破解,事實不然!使用者為避免忘記密碼,常用方便聯想的方式建立密碼。如Adobe近期公布,在3800萬用戶中有近200萬用戶使用”123456”為密碼,這些大家慣用且熟悉的密碼,已經在駭客猜測的密碼列表中,另外像是「P@ssw0rd」,即使符合密碼原則,但可能只要嘗試猜測十次以內,便遭破解。

移花接木的詐騙匯款郵件
郵件內容與例行執行的合約或交易有關,內容格式多半都與過去往來常用的格式雷同。甚至駭客直接攔截正在商談的商業郵件,複製其內容並竄改連絡管道資訊、匯款帳號資訊後,以移花接木的手法發出詐騙郵件。追蹤發現許多遭受商業詐騙攻擊的企業,都有內部資料外洩的問題,而主要外洩的管道是企業或私人的電子郵件信箱。

偽冒的語音留言郵件
假冒微軟發送的郵件,其並未夾帶任何惡意檔案,取而代之的是一個假的語音留言下載連結。當收件人收到這個郵件時,由於這個信件假冒微軟的名稱,而且在信件內容又標示出將下載的檔案為.wav檔,很容易讓人不查而誤點連結。當點擊該惡意連結之後,會導向一個帶有惡意JavaScript的網頁,瀏覽器執行之後則可能會對瀏覽器的弱點進行攻擊,或是逕自下載惡意程式誘騙用戶點擊,其惡意攻擊的方式非常多樣,其中也包括了最新的Java漏洞攻擊(CVE-2012-4681)。

Cryptolocker勒索病毒郵件侵襲
這隻病毒不同於過往病毒的模式,它發病後並不會將電腦資料摧毀,而是將重要的資料全都加密,並要求受害人在72小時內支付「贖金」,否則就再也無法解密電腦中的資料。

中華數位科技提醒,預防社交工程郵件攻擊建議做到以下幾點:

1.建置並定期更新的垃圾郵件、電腦病毒過濾機制
2.定時更新電腦與軟體的漏洞修補
3.定期掃描密碼強度,以防止內部漏洞讓駭客有機可趁
4.保持警覺,不隨意開啟不明郵件中的附件檔案
5.定期舉辦內部社交工程演練及教育訓練,提昇使用者資安意識

- 新聞稿有效日期,至2014/02/20為止


聯絡人 :IvyChen
聯絡電話:+886-2-25422526
電子郵件:ivychen@softnext.com.tw

上一篇:2013 社交工程手法回顧
下一篇:國考大變革,補教業苦思對策



 
搜尋本站


最新科技評論

我在中國工作的日子(十四)阿里巴巴敢給股票 - 2023/07/02

我在中國工作的日子(十三)上億會員怎麼管理 - 2023/06/25

我在中國工作的日子(十二)最好的公司支付寶 - 2023/06/18

我在中國工作的日子(十一)兩個女人一個男人 - 2023/06/11

我在中國工作的日子(十)千團大戰影音帶貨 - 2023/06/04

我在中國工作的日子(九)電視購物轉型電商 - 2023/05/28

我在中國工作的日子(八)那些從台灣來的人 - 2023/05/21

我在中國工作的日子(七)嘉丰資本擦身而過 - 2023/05/14

我在中國工作的日子(六)跟阿福有關的人們 - 2023/05/07

■ 訂閱每日更新產業動態
RSS
RSS

當月產業動態

Information

 

 


個人.家庭.數位化 - 數位之牆

欲引用本站圖文,請先取得授權。本站保留一切權利 ©Copyright 2023, DigitalWall.COM. All Rights Reserved.
Question ? Please mail to service@digitalwall.com

歡迎與本站連結!