刑事局今日宣佈偵破駭客四月底冒用健保局北區業務組名義進行目標性攻擊竊取個資一案,雲端資訊安全廠商趨勢科技運用獨特的客製化分析技術,成功偵測導致一萬多筆中小企業個資外洩的的惡意木馬程式TROJ_GHOST.ZZXX與後門程式BKDR_GHOST.ZZXX,協助辦案人員抽絲剝繭,緝查不法之徒。
趨勢科技發現,駭客係假冒健保局名義發動客製化的社交郵件工程攻擊,首先透過發送大量以健保局北區業務組為名寄送的郵件,其中內含「員工修正補充要點下載修正」的連結,一旦點選此連結將被轉址至另一個網址並自動下載一個名為「二代健保補充保險費扣繳辦法說明」的RAR壓縮檔。
受害者一旦點選並下載檔案後,將會看到一個看似為DOC檔實際上為執行檔的檔案;下載執行後,電腦將被植入木馬程式與後門程式,隨後電腦會先遭受強制重開機,即讓使用者電腦門戶洞開,駭客可以遠端監看被害人電腦桌面並瀏覽、複製電腦中檔案內容,進而再利用民眾電腦內通訊錄等資料進行下一波針對性攻擊,如法炮製成功盜取了高達1萬多筆個資。
趨勢科技進一步分析發現,該後門程式屬於GHOST惡意程式家族,可能造成受害中小企業的財務會計相關資料外洩,不排除相關資料可能被用於相關詐騙行為。
趨勢科技技術總監戴燊表示:「此波攻擊除了透過常用的社交工程手法之外,其針對收件人客製化的郵件主旨及稱謂更是讓收件者疏於查證而輕易點選,更是防不勝防。並且郵件中內含的相關連結網頁為轉址到浮動IP以避開相關資訊安全軟體的追查,並針對資訊安全意識相對較低的特定中小企業主財會相關人員為攻擊目標發送,建議公司行號經手特定敏感資訊的人員如財務、人資等,更需對此類來路不明的信件,以及其中的附件檔應抱持戒慎的心態。」
面對社交郵件工程攻擊,趨勢科技建議中小企業主及民眾應注意以下事項:
1. 選取合法並可過濾郵件中有害連結的資訊安全防護軟體。
2. 定期更新資訊安全防護軟體。
3. 點選來路不明郵件中的附加檔案或是連結前需慎重,如果不確定此封郵件真偽,建議致電該單位或至官方網站查詢。
4. 特別是公司行號經手特定敏感資訊的人員如財務、人事等,更需對此類來路不明的信件中附件檔應抱持戒慎的心態
趨勢科技呼籲企業IT人員謹慎面對此類社交工程攻擊,並提供免費清除工具下載(
http://esupport.trendmicro.com/solution/zh-tw/1097458.aspx。),以防止企業成為此波攻擊的受害者。
趨勢科技與企業主一同捍衛企業資訊安全,針對中小企業防護,趨勢科技Worry-Free?SMB雲端防毒服務提供跨平台且容易管理的安全防護:http://tw.trendmicro.com/tw/products/sb/worry-free-business-security-services/ 。 相關解決方案問題,請洽業務專線:Tel: 886-2-2378-2666 或email: sales@trend.com.tw