汇款诈骗灾情频传,慎防电子邮件的中间人攻击
ASRC 研究中心主任 高铭钟

网络攻击的型态渐渐改变,过去无偿、炫耀或恶作剧型的的入侵与破坏事件,已慢慢式微,恶意攻击者也开始追求效率与利益,将攻击成本降低,而攻击的成果应该要能产生实际获益,视为其努力的方向。近年来海内外汇款诈骗事件有升高的趋势,就是一个以低技术难度追求高获利的显著例子。汇款诈骗的事件多出现在商务洽谈出货或付款的阶段,但事实上,攻击者多半早已窃取该信箱的邮件一段时间,只是静待汇款交易时,伺机从中变造汇款账号,误导汇款方将款项汇出攻击者的账户。



汇款方收到的合作厂商通知真实邮件


黑客伪造合作厂商的汇款通知,更改了附件的收款帐户信息及邮件内容

攻击者如何窃取受害者的邮件?

多半通过三种方式,一种为木马入侵或直接攻击邮件系统漏洞,用以取得机敏信息;一种为通过钓鱼邮件骗取被攻击者的电子邮件账号密码;还有一种为直接使用被公开过的弱密码字典文件,通过SMTP或POP3认证的方式猜测使用「弱密码」的账号。「弱密码」指的是大家惯用逻辑的密码,它看起来未必简单,但却是多数人容易记住的密码,比方「12345」、「password」、「apple」…等,因为这些密码多数人容易记住并采用,所以直接使用这些密码来进行猜测的话,可以大幅度缩短密码猜测的次数及时间。在ASRC过去调查的经验中,受到汇款诈骗攻击的用户,多半早有从多个IP尝试收发信,或密码试误的记录。


骗取电子邮件帐户的钓鱼邮件

攻击者入侵后,多半不动声色监看往来邮件,伺机模仿伪造汇款邮件

入侵成功的攻击者多半会不动声色,持续监看被攻击者过去以及持续往来的邮件,或者利用取得的账号密码,试图再进一步登录其它系统窃取数据。当交易将发生时,攻击者会以「中间人」的姿态从中拦截原通知汇款邮件,或者另外发信告知受攻击者汇款账户变更,信的用语及格式都会仿造与原发信者一致,更甚者,还能提供更多相关的数据文件、用印…等,这取决于攻击者窃取资料的程度。


汇款诈骗示意图-1


汇款诈骗示意图-2

汇款诈骗的预防

面对这类的网络犯罪,最好的预防方法就是,在各种金钱交易进行前,一律通过除了邮件以外的第二管道 (例如通过电话),确定交易人员、日期、账号、款项等信息,且有任何交易变更也都循此原则通过第二联络管道再行确认,这会是最保险的手法。其次,才是通过信息安全设备进行协防。通过信息安全设备进行协防的方式可从三个主要的方向进行,其一,定时更新并修补各种系统弱点,并做良好的信息安全规划与防范,如:社交工程演练、密码复杂度、密码稽核及密码强制定期变更…等;其二,直接通过电子邮件过滤机制拦截或警示异常的邮件,比方是否存在发件人伪装,或直接杜绝钓鱼邮件与内部人员接触;另一个方向,则是通过良好的设置,限制公司内部邮件可收信的IP范围,或者通过防火墙、Log监控机制,用以实时示警及杜绝不合理的收发信IP或者各种疑似猜测密码的行为。

除了拦截并变造交易邮件的中间人汇款攻击外,尚有许多假冒公司、展览邀请、询价或假合作的诈骗亦不少,这些攻击所运用的多半是传统的社交工程骗术,相较于挟带有渗透疑虑的中间人汇款攻击,是相对好预防的。中间人汇款攻击所造成的并不是单一方财务的损失,更可能是波及交易双方间的信赖及后续合作关系,且中间人汇款攻击一旦发生,不论诈骗成功与否,都代表着交易双方内部信息可能存在相当程度的外泄,需要特别重视并详细盘查攻击者的入侵管道及渗透程度。

回到列表