2月底資安業者Fortinet警告有人對於臺灣政府機關及企業組織發動社交工程攻擊,手法是以財政部名義宣稱要進行稅務抽查,如今數發部資安署也對於這種假借調查稅務的網釣攻擊提出警告。
上週資安署發布2月份的資通安全網路月報,當中提及駭客假冒財政部名義寄送釣魚信,佯稱要進行稅務調查,對於臺灣政府機關及企業組織發動社交工程攻擊的情況,正好與資安業者Fortinet於上個月底揭露的惡意程式Winos 4.0攻擊行動相當類似。
雖然資安署和Fortinet都提及駭客假冒財政部抽查稅務為由從事網釣攻擊,但兩起事故攻擊手法似乎不太一樣:資安署提及駭客針對握有敏感資訊存取權限的財務人員下手,引誘他們開啟附件當中挾帶的惡意連結;而Fortinet提及的事故當中,似乎是寄信給一般員工,因為駭客要求收信人將資料轉交財務主管。究竟兩者是否為相同的攻擊事故,有待其他資安研究員進一步釐清。
針對假冒查稅的網釣攻擊,財政部從今年1月開始提出警告,指出已有駭客假冒他們的名義,以稅務抽查涉稅企業名單、稅務通知、賦稅稽查通知書為幌子從事網釣攻擊,台灣電腦網路危機處理暨協調中心(TWCERT/CC)也公布釣魚郵件的相關特徵,供企業組織防範這類攻擊。3月7日高雄國稅局再度針對相關網釣攻擊提出警告,強調只要是涉及稅務調查事項,國稅局會以正式公文書寄送通知,而非透過內含附件的電子郵件處理。
