ASRC 2022 年電子郵件安全回顧

2022 年對許多人來說是艱困的一年，世界仍受疫情影響，全球性通膨也讓經濟局勢難以樂觀，加上地緣政治風險不斷升高、戰爭爆發，更讓資訊安全的重要性被瞬間拉高。我們可藉由回顧 2022 電子郵件的攻擊樣態，思考 2023 即將可能面對的攻擊趨勢與未知風險，並及早防範！

根據中華數位科技與ASRC研究中心的觀察，相較於 2021 年，2022 年的病毒郵件數量大約成長了 31%；419scam 詐騙郵件成長了 76.37%；而惡意郵件中夾帶了 zip 及 rar 壓縮檔的狀況都成長了50% 以上，其中很大一部分受到密碼保護，加密的惡意壓縮檔很可能就此成為未來常見的趨勢；而夾帶惡意文件檔成長最多的為惡意 pdf 檔，其次則分別為 Office 的 Word 格式檔案與 Excel 檔。Office 文件漏洞利用則以 CVE-2021-40444 成長最多，更早期的漏洞的利用情況也依然有所成長；CVE-2022-41049 也是在 2022 年 11 月揭露後就開始出現頻繁被利用的跡象。文件型漏洞利用大略可看出：新的漏洞被揭露後會在短時間內遭到頻繁嘗試利用；但舊的文件漏洞利用攻擊仍存在，顯然，攻擊者並不認為舊有漏洞可被全面修補。全年來看，攻擊郵件數量最多的時間點則是集中在第二季。

惡意加密壓縮附件

在 2022 年第一季中大量流行的 Emotet 垃圾郵件攻擊行動，其所夾帶於郵件裡的惡意 Office 文件多為 xls、xlsx、xlsm、doc、docx、docm... 等等。但值得注意的是，這些文件除了直接寄送外，也會被以 zip 加上密碼的方式做發送，用意是為了躲避資安防禦工事的偵測。此類攻擊郵件最明顯的特性是：解密的密碼與加密檔的壓縮同時存在同一封郵件中，此特性也是與日本已行之有年，以附件 ZIP 加密碼的資安防護方式簡稱為 PPAP 最大的區別點。PPAP 是由 4 個詞所組成，Password 付き zip ファイルを送ります、Password を送ります、An 号化、Protocol（プロトコル）。一般指將電子郵件夾帶的附件，透過 ZIP 加密壓縮，再將可以解壓縮的密碼，透過另一封郵件發給對方解密。

PPAP 的使用有許多疑慮與弊病存在：加密檔案與密碼經常使用相同的通訊管道分次傳輸、長久使用固定密碼以及加密檔案直接遭到攔截並暴力破解的挑戰等，都說明了 PPAP 的使用並不安全。再加上 2022 年的加密惡意壓縮附件檔數量大肆氾濫，已有多個大型企業集團直接廢除 PPAP 的傳輸方式，並宣布接收外部郵件時，將會直接濾掉帶有密碼的壓縮檔。因此，未來帶有加密附件的電子郵件在資安防護的角度下，很可能會由原有的保護機敏文件的視角，全面改變為需要受到特殊檢查，或被隔離的郵件。

以「安全」為名的攻擊郵件

在 2022 年我們也經常看見教人防範釣魚郵件的教學，內容卻是帶有連往釣魚網站的釣魚郵件。或假借情資通報，實則帶有 CobaltStrike Beacon 後門程式的攻擊郵件。這封攻擊郵件冒充了台灣行政院國家資通安全會報技服中心發布的漏洞資訊。雖然發送郵件的源頭並非真的由技服中心而來，但在內容上，不論是格式或是用語都煞有其事，並附上了一個惡意附件，在郵件內容中還標註了解壓縮的密碼，並誘騙收信者要想知道完整的駭客消息，需要解壓縮附件檔案。

許多的攻擊手法、通報本來就常藉由電子郵件的管道作發佈，因此收信者可能會對「教學說明」、「安全通報」類的郵件較無戒心，這類型的社交工程手段在未來很可能會更常出現。

釣魚郵件大爆發的一年

澳大利亞競爭與消費者委員會 (ACCC) 顯示，2022 年 3 月，澳大利亞人因各種類型的詐騙共損失了 9500 萬澳元。網絡釣魚攻擊正變得越來越普遍，並且在未來幾年沒有任何趨緩的跡象。而根據 IBM 的 2021 年數據洩露成本報告，網絡釣魚是第二昂貴的攻擊媒介，平均給組織造成 465 萬美元的損失。網路釣魚幾乎是所有網路攻擊最經典的攻擊前奏，面對它所帶來的損失，相信絕不是一個不採取任何行動就能被接受的風險。

網路釣魚攻擊事件的數量逐年增加，根據 ASRC 的統計，相較於 2021 年，2022 年的釣魚郵件數量成長幅度高達 2 倍。在此所謂的網路釣魚郵件意指：電子郵件中僅夾帶一個惡意超連結，且不存在除了圖片以外的附件檔案，將受害者帶往特製的釣魚網站，目的是騙取受害者的機敏資料，以作為後續其他攻擊的利用。

釣魚郵件進化的方向主要是朝著釣魚網址不要被偵測、不要被瀏覽器屏蔽的方向發展。在 2022 年我們可看到釣魚網站利用了Google翻譯、微軟的線上問卷機制，遮蔽了真實的網址，使得郵件內惡意網址的偵測變得困難、同時受害者也不容易受到瀏覽器的網址安全功能保護。

除了利用合法服務進行網址屏蔽外，部分的釣魚郵件也利用QRcode來隱藏惡意網址，相較於其他區域，這樣的攻擊在中國更常見，但此類攻擊佔整體的釣魚郵件數量其實不多，而且此類釣魚郵件特別針對手機進行攻擊。

整個釣魚攻擊的過程，除了電子郵件外，釣魚網站才是真正收穫機敏資料的重要陷阱。釣魚網站在過去幾年的統計裡，絕大多數存活天數都在一天以內，原因是這些釣魚網站、頁面所寄宿的 VPS、免費網站表單生成器、ISP 都會主動進行偵查或接受檢舉，而將這些釣魚網站下架。因此，釣魚網站也需要往更不易被下架的方向作演化！2022 年我們看見了釣魚網站利用了星際檔案系統（InterPlanetary File System，縮寫為IPFS）這個技術做為網站寄宿空間。星際檔案系統是一個旨在實現檔案的分散式儲存、共享和持久化的網路傳輸協定。它是一種內容可定址的對等超媒體分發協定。在 IPFS 網路中的節點構成一個分散式檔案系統。傳統的惡意檔案寄存於單一網站，一旦伺服器掛掉或連線斷掉，這個惡意檔案或是釣魚頁面就無法被取得。但在IPFS上，檔案可利用多個網路節點上傳送，因此可確保內容長久存在，釣魚網站也更難以被簡單封鎖或被網站管理員「下架」！

結論

面對2023，企業應仔細考慮加密文件的流動是否存在繞過安全稽核的風險。此外，千萬別將所有的風險防範都寄望於人體防火牆，社交工程逐步精緻複雜化，已經不是一般未經教育訓練的人員可抵禦的風險。再者，釣魚的手段越來越多樣化，難保機敏的憑證不會因為一時的疏失而外洩，採取零信任的環境部署，針對每一個服務登入都要求驗證、紀錄，並適當將操作權限開放在合理的最小化狀態，將可有效減輕憑證遭到釣魚攻擊的風險！