账号:
密码:
CTIMES/SmartAuto / 新闻 /
ASRC发表2018邮件安全分析回顾 电子邮件攻击只会变形不会绝迹
 

【CTIMES/SmartAuto 报导】   2019年02月14日 星期四

浏览人次:【898】
  

2018年的重大资安议题,包括CPU快取安全漏洞、挖矿以及虚拟货币窃案、脸书泄密与剑桥分析事件,当然也少不了利用这些议题进行的电子邮件攻击:CPU安全漏洞公布後,2018年一月即出现重大漏洞更新的网钓邮件,佯称可下载并安装修补程式,但实际上为木马程式Smoke Loader。

ASRC发表2018邮件安全分析回顾 电子邮件攻击只会变形不会绝迹
ASRC发表2018邮件安全分析回顾 电子邮件攻击只会变形不会绝迹

虚拟货币交易平台Binance,以及日本虚拟货币交易所Coincheck都曾遭受过钓鱼邮件的攻击,後者因此蒙受了巨大的损失;以脸书、 Apple等知名公司名义发送的钓鱼邮件更是经常可见,受害用户并无法直接分辨这些钓鱼邮件的可信度,尤其当自己有使用相关服务时,多半都很容易成为上钩的对象。邮件安全已成为各种资安措施中,最基础且无法忽视的重要环节。

根据中华数位与ASRC的观察,2018年四大邮件攻击分别为:漏洞利用、钓鱼邮件、诈骗邮件与恐吓邮件。仔细观察便可发现,这些都不是什麽崭新的攻击手法,却持续为骇客所用,虽然运用的技术各有不同,却都是搭配精心设计的社交工程手法而设下的骗局。

为了提高成功入侵的机率,骇客透过电子邮件发动的攻击只会不断变形不会绝迹。光是要求使用者提高警觉来防御多变的邮件攻击已经不足,企业应提供使用者相较安全的电子邮件使用环境,以降低被攻击的风险。

2018四大邮件攻击重点摘要

漏洞利用攻击

漏洞的利用通常是 APT 攻击的前奏,取得受害者电脑控制权,便能进行窃资或向内攻击的利用。常见OLE 漏洞 (CVE-2014-4114) 与方程式漏洞 (CVE-2017-11882)。因为经典稳定,加上使用者多半没有定期更新的习惯,这些漏洞仍会持续被利用。

钓鱼邮件攻击

低技术高报酬,只要钓到几个有用的帐号密码,就能观察受害者通信往来情况,攻击与受害者的联络对象。2018年3月出现大量带有.url压缩附档的攻击,只要「选取」档案就会泄漏敏感资讯,还有可能还原使用者密码做进一步攻击

BEC诈骗攻击

与APT有着相同的特性:一旦被骇客盯上就有可能重复发生。金融、高科技制造、制造是最常遭受 BEC 诈骗邮件攻击的产业。特定企业每一到两个月就会遭到 1~2 次 BEC 邮件攻击,且攻击持续3个月以上。

恐吓邮件攻击

比勒索更简单,无需夹带恶意档案或程式码,纯??透过心理恐吓使人言听计从。恐吓名单多由社群网站或是大规模泄漏事件中取得。目的多在骗取虚拟货币。

關鍵字: 資安  ASRC 
相关新闻
智慧家庭要防骇 2019IoT资安挑战赛成果揭晓
将AI导入资安 提供企业更自动化与有效的防护
台湾新创二度征战CES 秀资安软硬整合实力
经济部推动物联网资安标章首发
107年资安人才培育成果发表暨就业媒合会
comments powered by Disqus
相关讨论
  相关新品
Pad(MID) SiP Turnkey Solution
原厂/品牌:鉅景
供应商:鉅景
產品類別:RF
  相关产品
» Digi-Key宣布推出供应商主导的KiCad资料库
» Canon全方位智慧商务解决方案聚焦企业转型未来
» 红帽开放原始码技术协助乐天行动网路公司端对端云原生行动网路
» Marvell革新边缘资料中心交换技术
» 丽台科技於2019 GTC大会发表WinFast RTX深度学习工作站
  相关文章
» 5G高频的PCB设计新思维
» Gartner:2019年十大无线通讯技术趋势
» 在几分钟内构建智慧??温器控制单元
» 关於Android 10你该知道的10件事
» 应用於无线充电技术的类三角测量法

AD


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2019 远播信息股份有限公司版权所有 Powered by O3
地址:台北市中山北路三段29号11楼 / 电话 (02)2585-5526 / E-Mail: webmaster@ctimes.com.tw