中国台湾刑事局近日宣布侦破黑客四月底冒用台湾健保局北区业务组名义进行目标性攻击窃取个人信息一案,在这起案件中,黑客使用了恶意木马程序“TROJ_GHOST.ZZXX”与后门程序“BKDR_GHOST.ZZXX”进行攻击,并导致一万多笔中小企业个人信息外泄。
研究发现,黑客假冒健保局名义发动定制化的社交邮件工程攻击。首先,黑客通过发送大量署名健保局北区业务组的邮件,其中内含“员工修正补充要点下载修正”的链接,用户一旦点击此链接将被转至另一个网址并自动下载一个名为“二代健保补充保险费扣缴办法说明”的RAR压缩文件。
【黑客针对特定中小企业发动定制化社交邮件工程攻击】
受害者一旦点击并下载文件后,将会看到一个看似为Doc文件(实际上是执行文件的附件);下载执行后,电脑将被植入木马程序与后门程序,并会强制重启。随后,恶意程序会全面启动,黑客可以远端监看用户的电脑桌面并浏览、复制电脑中文件内容,进而再利用用户电脑内通讯录等信息进行下一波针对性攻击,如法炮制成功盗取了高达1万多笔个人信息。
【解压缩后发现其为一看似Doc文件的执行文件,一旦执行后将下载木马程序与后门程序,造成用户电脑门户洞开】
据进一步分析发现,该后门程序属于GHOST恶意程序家族,可能造成受攻击中小企业的财务会计相关信息外泄,不排除相关信息可能被用于相关诈骗行为。
此波攻击除了通过常用的社交工程手法之外,其针对收件人定制的邮件主题及称谓更是让收件者疏于查证而轻易点击,所以防不胜防。并且邮件中内含的相关链接网页转址到浮动IP以避开相关信息安全软件的追查,并以信息安全意识相对较低的特定中小企业主财会相关人员为攻击目标发送,以提升攻击的成功率。
面对社交邮件工程攻击,安全专家建议中小企业主及民众应注意以下事项:
选取合法并可过滤邮件中有害链接的信息安全防护软件。
点选来路不明邮件中的附加档案或是链接前需慎重,如果不确定此封邮件真伪,建议致电该单位或至官方网站查询。
持有公司敏感信息的人员如财务、人事等,需对来路不明的信件中附件文件抱持戒慎的心态。
