2019 年

2019-11-29

近年常見 3 大進階釣魚詐騙手法,企業的郵件安全跟緊節奏了嗎?
Openfind 郵件防詐騙分析中心

工作時運用 Email 電子郵件溝通,是企業常態,而目前導入雲端電子郵件服務的企業機關也日趨增多,加速工作溝通及維運效率,更節省系統軟體及硬體的管理成本。郵件溝通順暢,也仰賴郵件環境穩定、有效隔離威脅等郵件資安基礎。導入雲端服務的另一項好處,即是版本自動升級,不會額外收費,所以要追上新型態資安防護功能,對管理者來說,也十分方便,不會另花金錢成本與管理時間成本。

工作溝通的型態快速改變,駭客的攻擊手法也日新月異,而使用者的資安意識更是避免被駭客入侵的重要關鍵。Email 溝通相當便利,遂也成為駭客詐騙的常見管道 (註1)。如下圖所示,使用者若缺乏足夠的警覺心,有可能被駭客乘虛而入,不慎開啟惡意郵件、誤點釣魚連結、甚至下載異常附檔,一步步落入駭客設下的圈套。

只是,若要使用者全體 100% 避免誤觸駭客陷阱,並不是一件容易的事情。特別是近期詐騙事件頻仍 (註2),郵件詐騙手法也推陳出新,若單靠人力或肉眼判斷,難免有疏失。因此,企業/機關導入進階防詐騙解決方案,以資安服務輔助偵測,仍是比較常見的方法。

電子郵件詐騙手法百變,目的多為營利性質,騙取金錢財物或是榨取商業機密。近期較為人熟知的類型包含:

一般詐騙的郵件,內容通常不會很明確寫出收件人的稱呼,而多半會有「匯款轉帳」或「帳號變更」等關鍵字詞。
BEC 變臉詐騙郵件 (Business Email Compromise, 商務電郵詐騙),有時是寄件來源乍看很正確,上當後細看才發現拼字有誤,或是 Header 有異狀,匆忙中易忽略的威脅郵件。
社交工程攻擊郵件常見夾帶變化型釣魚網址,具有時間差,剛收到信的時候還是安全的,但是當收件人要點擊之時即有可能轉變為夾帶威脅的URL。(更進階的還有融合受害目標針對程度更高的魚叉式網路釣魚攻擊 (註3),誘騙性更強。)
Email APT 攻擊的起始點,多半是受害者無法以肉眼識別的完全擬真的偽冒郵件 Email,持續滲透進入受害目標之系統環境,伺機引爆,也是技術手法最難破解的一環。

企業信箱本身務必具備安全性驗證防護,例如:SPF、DKIM 等防偽技術以驗證自身來源 (註4),更應進一步主動架設收信安全機制,過濾網路攻擊,以下簡述各類詐騙手法的因應之道:

1. 詐騙信特徵分析 — 分析BEC變臉詐騙信特徵,系統端直接攔截 (以下列出 2 種範例特徵)
[特徵1] Reply-to 詐騙情境


[特徵2] 相似網址詐騙情境

2. 動態惡意轉址警示 — 杜絕時間差造成的進階社交工程攻擊及魚叉式郵件釣魚攻擊威脅
近期社交工程攻擊最難防的部分在於,信件內的釣魚網址一開始是真的安全無虞,藉以騙過安全機制,直接送達使用者信箱,且經過一點時間後,卻轉址為惡意連結,再加上魚叉式郵件釣魚攻擊模式,會使用更量身打造、更具針對性,情境更擬真的郵件內容來誘騙收件人,使用者因此仍暴露於詐騙信件威脅之中。而動態惡意轉址警示功能,則能有效降低此類攻擊威脅。

3. 郵件 APT 沙箱防護 — 透過郵件附檔之動態及靜態行為模擬、及程式碼分析等機制,防禦 APT 攻擊威脅
郵件 APT 沙箱防護搭載進階惡意程式偵測引擎,提供一連串附檔鑑識流程,包含前置靜態比對雲端資料庫、動態解析特徵值、進行程式碼分析、及模擬檔案行為,最後於沙箱環境引爆,以最精密的方式偵測並隔離帶有 APT 威脅的電子郵件。

郵件詐騙手法與建議防護措施 – 類別對照表

類別 郵件詐騙手法 簡易說明 建議防護措施
類別 1 一般詐騙 大量撒出,內容多引人好奇 關鍵字告警
類別 2 BEC 變臉詐騙 略有針對性,使用者受騙機會提高 詐騙信特徵分析
類別 3 社交工程攻擊 可能有量身打造的郵件內文與惡意連結 動態惡意轉址警示
類別 4 Email APT 攻擊 攻擊目標的針對性及技術性相當高 郵件 APT 沙箱防護

總結來看,郵件防詐騙的攻擊方 (駭客),主要是想盡千方百計來引誘防禦方 (使用者) 受騙上當,藉此騙取金錢財物或是榨取商業機密,所以防禦方 (使用者) 的防禦能力相當重要,文章最後,也以下圖分享郵件防詐騙的使用者 4 大守則給各位讀者,歡迎分享給您的同事們。郵件防詐騙,不該是管理者一個人的孤軍奮戰,若能從上到下,各位使用者皆提高資安意識,更能有效弭除詐騙風險。若您想提高郵件防詐騙等級,而又困擾於相關資訊太多且複雜,請不用擔心,因為有很多機關/用戶也有一樣的困擾,您可先參考以上對照表,搭配本文了解相關名詞意義,建立基本概念,想了解更多資訊,歡迎查閱電子郵件防詐騙智慧分析中心網頁

 

註1:常見電子郵件詐騙手法,全民資安素養網
網址:https://www.klp.moj.gov.tw/media/20203382/922110100150.pdf?mediaDL=true
註2:電郵詐騙 一個字母坑千萬,聯合新聞網
網址:https://udn.com/news/story/7238/4098140
註3:防止”魚叉式網路釣魚”駭客攻擊,以色列工業貿易勞工部
網址:https://itrade.gov.il/taiwan/2015/%E9%98%B2%E6%AD%A2%E9%AD%9A%E5%8F%89%E5%BC%8F%E7%B6%B2%E8%B7%AF%E9%87%A3%E9%AD%9A%E9%A7%AD%E5%AE%A2%E6%94%BB%E6%93%8A/
註4:電子郵件安全性驗證防護,MailCloud 電子郵件防詐騙智慧分析中心
網址:https://www.mailcloud.com.tw/web/email165.html