今日網際網路上的資安風險日益嚴重,出現了許多以社交工程為名來引誘使用者連結的惡意網站或者E-Mail夾帶惡意文件與程式,偽裝成合法的信件內容造成資安意識薄弱的使用者莫大的損失。這樣惡意連結就有如包覆著美麗糖衣的毒品般,內容會是讓使用者心動或是在意的事情,當使用者點擊後,就會造成電腦中毒、資料外洩等等。以下將會分享一個實際的案例,來提醒公司內員工或是親人對於來路不明的數位內容提高警覺。
在某個企業中,裡面的部分員工都會使用公司的E-Mail作為工作交辦與傳遞檔案的工具,以及做為跨部門溝通使用。若員工缺乏辨識信件來源的真確性,輕易的把信件打開開啟了附件或是連結,而這些惡意的檔案多數為Fileless(無檔案),迴避了相關的安全機制。這些習以為常的例行公事最容易讓人疏忽,可能就會造成資訊安全的風險。
有一次在某位員工按照慣例收到一封同事交代事項的E-Mail,在E-Mail中有著交辦的事項,但在這些交辦的事項中附有一個Google Drive的檔案連結網址,下方還特別備註此網址內有含有幾個檔案是有關於交辦事項的相關文件,請同仁去點擊下載,而這位同仁看這個連結是Google Drive專用的檔案連結,認為這應該是沒有問題,就不疑有的直接去點擊下載。過幾天後一早上班,全公司突然發現幾乎所有的員工帳號都被鎖定無法登入。
此時IT部門開始一一為使用者解鎖帳號,但發現過一會兒,那些被解鎖帳號又再次被鎖住,此時IT部門開始懷疑是否公司內部被入侵或是遭受外部駭客的攻擊。IT開始追查造成的原因,一層一層的檢查,從內部網路開始做隔離,但帳號被鎖住的情況還是會不斷發生,開始查詢AD Server的安全性記錄,查到所有帳號在短時間內都在不斷的與AD Server做認證,但因為密碼錯誤都是失敗,在其中發現這些大量的密碼錯誤都是從某一台的Mail Server來做認證的,最終發現是從Mail Server不斷的去和AD Server認證每位員工的帳號與密碼,所以才導致帳號被鎖定,IT部門開始對防火牆與Mail Server做調整,讓外部的網路無法直接瀏覽到Mail Server 的信箱網頁,帳號被鎖定的事件才停止了。
之後IT部門開始追查是什麼原因導致Mail Server會不斷的去認證帳號,後來發現公司同仁中,有位員工點擊了一封有夾帶惡意連結的E-Mail,才導致公司大部份員工的E-Mail 帳號外洩到外部,而外面的駭客就利用Mail Server可從外部瀏覽到信箱的網頁,不斷的用這些外洩的帳號,去嘗試登入的Mail Server,此時AD Server的防護機制啟動,讓這些大量認證失敗的帳號去鎖定住;而IT部門去查看這封含有惡意連結的E-Mail時,發現此封E-Mail所附上的Google Drive的連結表面與Google Drive的專用連結無一差別,但此Google Drive的連結實際上所連到的網址並不是Google Drive,而是連到其他的網頁(示意圖),
 |
而這種手法就是要利用使用者認為Google的連結是沒問題,卻不會去注意到她背後的超連結網址其實是連到其他的網站,所以就中了惡意連結的陷阱。
在此次案例中,就可以發現其實惡意的連結都會藏在使用者認為是沒問題,降低使用者的警覺性,不疑有他的去點擊惡意連結,這就如同前面所提到的,這些惡意連結就如同包覆著美麗糖衣的毒品,表面上看上去是沒有問題,甚至會吸引使用者想要知道連結的內容,當使用者點擊後常常就會造成嚴重的後果;而現在類似的攻擊手法也都包含著社交工程與心理學在其中,像是前一陣子很流行的勒索病毒傳播一樣,有很大的部分是從點擊到惡意連結造成的,所以平時要對一些不明的連結加以確認,提高警覺,對於資訊安全的教育訓練也是要不斷進行,只有強化使用者的資訊安全知識,才不能夠降低資訊安全的風險,減少財產的損失。