网路资讯／骇客如何诱骗公司员工？

作／埃里卡

益智问答：骇客最容易入侵企业网路资源的终端弱点在哪？ 答案不是未安装修补程式的Windows漏洞或浏览器弱点；事实上，答案完全不在科技层面。贵公司最大弱点是公司的科技使用者！

和作业系统相较，人几乎没什么了不起，SANS Institute的Securing The Human Program培训主任Lance Spitzner说：「电脑储存、处理与传输资讯，人也是储存、处理和传输资讯，人也是一种终端；但人受到的威胁并非缓冲溢位，而是不安全的行为。」

骇客会传送冒充合法的假讯息，使公司员工不小心点选恶意附件及连结；不肖之徒会将感染恶意程式的随身碟放在公司停车场，诱使员工捡起并插入电脑一探究竟；员工会登入被破解的无线网路来存取公司资产。员工有许多不安全的行为，让歹徒有机可趁。

当然，贵公司一定有反钓鱼技术阻止恶意讯息跑进员工的信箱中，也有弱点管理套件可防护骇客虎视眈眈的瑕疵，贵公司还有各种反恶意程式软体，但这些产品都不是万无一失，部署及使用措施也一样有缺憾。

精心设计的钓鱼讯息可以逃过邮件过滤工具的法眼。不肖之徒专找未被侦测到的技术弱点，然后借由不疑有他的使用者之手入侵。他们一般是发展恶意程式新变种，让反恶意程式引擎无法侦测到，他们还会想出狡猾策略，将恶意程式藏在邮件或是网站上。上述种种方法，最后一道关卡都是让员工接到恶意邮件，或是到受感染的网站，如果企业无法解决人为的弱点，将使自己陷入麻烦境地。

使用者以为有IT部门就够安全，正是造成不当安全幻象的主因， 安全训练公司PhishMe执行长Rohyt Belani说：「多数被骇的大公司都有反恶意程式或反网钓软体，因此，若不是产品供应商吹牛，就是这些产品原本就非100%有效。」

渗透测试会显示出，大部份安全漏洞是出在电子邮件，而他们最强大的骇客工具也不是什么低阶网路入侵工具，「最强大的渗透测试工具是Outlook，」SAN的Spitzner说。

网路内容安全公司趋势科技(TrendMicro)指出，去年2月到9月间的精准攻击，91%和钓鱼手法有关。这些攻击已远超过去年的银行网钓攻击。现在骇客会花时间设立详细的计划，研究目标，并发展或购买尽可能不会启人疑窦的恶意工具。如果他们成功将攻击机制穿透受害者的防御工事，它们可能停留在受害者电脑中等待攻击者侵入它连上的网路。

最近一项攻击趋势是对话式钓鱼手法，受害者接到好几封「看似来自某个人，且是电子邮件串的邮件，」PhishMe的Belani说。攻击者已对受害者了若指掌，且佯称他们是在一场很盛大的活动，如RSA上见过面。在信中攻击者告诉受害者一则他一定会有兴趣的贴文，然后附上一则受感染的版本，攻击者甚至之后还寄发信件，邀请使用者到那部落格看看。

「由于你相信的确有个人在跟你通信，因此不疑有他，开启那封文件，这种技俩至少已出现半年以上，」Belani说。

而此类攻击也愈变愈复杂，提供事件回应及教育训练的MAD Security合伙人Mike Murray表示，大约一年前发生过一件事，一名国家层级的攻击者向MAD Security一家客户高层及其他公司4名主管下手，攻击者已做了广泛的研究（可能是透过LinkedIn），知道这5名高层平日有专案合作，攻击者利用这些资讯伪造5封不同电子邮件，每一封看起来都像是同伴向其他群组成员发信，转发给他漏掉的一封会议。信中包含伪造成假会议大纲的恶意附件，而每封信都有一长串信件对话，好比彼此间已为会议来来回回通信好几次。

「在这种情况下你有什么理由不打开那封信？他们都是你平日合作的5个人哦！结果我认识的每个人都打开那附件，包括我，」Murray 说。