2021 年第三季垃圾郵件總體數量並無明顯波動,但攻擊郵件仍然沒有平息。利用 CVE-2018-0802 方程式漏洞偽裝成訂單郵件的攻擊,數量上相較上季略有趨緩,但仍需要特別留意;冒充企業的偽造郵件攻擊,較上季成長約 1.5 倍,而針對個人詐騙郵件的數量較上季成長了 1.2 倍,個人與企業均須提防上當。
中華數位科技與 ASRC 研究中心整理本季較為特殊的攻擊:
在第三季,我們發現特別的釣魚郵件樣本,這個樣本在 Apple Mac 的預設郵件軟體開啟時,會直接顯示出可點擊的連結;但若在其他的微軟視窗系統常見的收信軟體,則不會顯示出可點擊的連結。
分析發現這封釣魚郵件使用了 <base> 的HTML標籤。這個標籤主要是用於設定整個頁面中,所有連結類型屬性的預設根網址。不過這個標籤並非所有的收信軟體都支援,因此可藉由使用這個標籤來篩選攻擊標的。
八月份突然流竄著一波主旨為「Congratulations ! You've been selected by Cathay Pacific Asia Miles Loyalty Program」、「You've been selected by Eva Air Loyalty Program」,冒名國泰與長榮兩家航空公司,以入選客戶忠誠方案為名的問卷調查,目標是騙取收件者的信用卡資訊。
讓被害人填寫完個人資訊後,接著要求輸入信用卡資訊,這一切都是為了取得「回饋」的必要步驟。
被害者填妥信用卡資訊,並按下送出,則會出現要求手機簡訊的刷卡驗證碼;若再配合收到簡訊後輸入,則後續來的不是航空公司的回饋,而是一連串刷卡通知。此時,信用卡已經正式遭到盜刷!請務必提防類似的信用卡資訊釣魚。
與自身業務有關的社交工程攻擊
在企業加強宣導資訊安全觀念的情況下,收到與自己業務無關或與自身慣用語言不同的信,多半會有所警覺,並且避免開啟相關附件檔案。但若出現與自身業務相關,內容也使用自身慣用語言撰寫的惡意郵件,該如何提防呢?
在第三季出現許多 ,卻夾帶攻擊檔案的惡意郵件。這些惡意檔案,都以壓縮檔的方式夾帶一個可執行檔,並且將圖示或副檔名,試圖偽造為 PDF 文件檔。
雖然這些假借業務詢問、保費、客服問題郵件內的社交工程手法類似,但郵件中所附帶的惡意程式並沒有明確的關聯性,部分惡意程式也會以壓縮檔加密的方式躲避掃描;運行時攻擊目的也有所不同,目前只發現攻擊 Windows 的樣本。防範這類郵件,建議不要隱藏副檔名、不要執行解壓縮後不明的 .exe檔案。
郵件壓縮檔炸彈,癱瘓過濾系統
Microsoft Office 自 2007 版本之後,提供了新的文件包裝格式,使用 XML 體系結構和 ZIP 壓縮將文件檔案、公式、VBA 等內容儲存到行和列的組織,常見格式附檔名為 .docx、xlsx、pptx、xlsm…等。我們發現這個 ZIP 的包裝結構,與早期的壓縮檔炸彈手法進行結合,用以干擾電子郵件的檔案掃描機制。
將這個 .xlsm 解壓縮後,產生三個 OLE 物件的 .bin 檔案,其中較小的兩個檔案,是由 VBScript 寫成的惡意程式主體檔案下載器,執行結束後會自我清除;oleObject3.bin 則是透過 CVE-2017-11882 的方程式漏洞去執行前述的 VBScript。而 oleObject3 解壓縮後的大小約為 2 GB,由於這個檔案大小過大,會對某些掃描機制產生干擾,也可能造成掃描時暫存空間瞬間用罄,導致非預期的問題。
攻擊者如何發送惡意郵件到目標對象的信箱?
主要兩種方式,一種是以字典檔針對一個域名持續嘗試;另一種,則是根據暴露於網路上的資料,以及遭到外洩的資料庫。以字典檔嘗試發送的方式,多半具有較低的針對性,容易偵測出嘗試的行為並加以阻斷;較為危險及常被忽視的會是後者。根據暴露於網路上的資料,以及遭到外洩的資料庫名單所發送的攻擊信件,多半還伴隨有該郵件信箱擁有者的相關資料,如:個資、興趣、其他聯絡資訊等等,能夠用於更有針對性且為受害目標量身打造的攻擊。
因此,在使用電子郵件信箱申請任何服務時,最好能依功能分類,或善用郵件信箱服務提供者的匿名、分身信箱服務,用以區別收件來源的重要性,必要時也可以廢除不用的分身信箱,將自己徹底從攻擊者的名單中移除。
關於 ASRC 垃圾訊息研究中心
垃圾訊息研究中心 (Asia Spam-message Research Center),長期與中華數位科技合作,致力於全球垃圾郵件、惡意郵件、網路攻擊事件等相關研究事宜,並運用相關數據統計、調查、趨勢分析、學術研究、跨業交流、研討活動..等方式,促成產官學界共同致力於淨化網際網路之電子郵件使用環境。
更多資訊請參考 www.asrc-global.com
熱門新聞
2024-04-22
2024-04-22
2024-04-22
2024-04-22
2024-04-22
2024-04-23