2023年5月9日台北訊 –隨著疫情趨緩,各國開放邊境,加上暑假將近,不論是在台灣或世界各地,越來越多人開始踏上疫情後的第一次長途旅行,或正積極進行出國規劃。然而這樣的趨勢,也讓惡意份子有機可乘,越來越多駭客以旅遊為主題,試圖利用網路釣魚竊取資料,包含帳戶憑證、財務資訊等,再將這些資訊透過黑市販售。舉例來說,美國聯邦調查局(FBI)日前才發出 警告,提醒消費者不要在機場、商場、旅館等公共場所使用USB接口充電,避免讓駭客有機會在裝置中載入惡意軟體,進而竊取資料,讓使用者淪為USB 充電陷阱攻擊(JuiceJacking)的受害者。 以旅遊為主題的網路釣魚不斷增加 駭客為了進行社交工程攻擊,常常會利用惡意網域和網址,假扮成消費者熟知的品牌和網站,用這些惡意網域或網址的內容來誤導消費者,因為它們看起來、感覺起來都很像之前熟悉的網域或網址。 駭客也可能將網路釣魚電子郵件傳送給消費者,誘騙他們下載惡意附件或點選惡意內容連結,可能是網頁或附件。他們還會使用帶有急迫感的主題(如未支付的帳單)或針對使用者情感訴求的主題(如當全球邊境開始開放,送出以旅遊主題的電子郵件)。 涉及旅遊主題的網路釣魚網址不斷增加 Unit 42分析了2019年10月至2021年8月間,以旅遊為主題的網路釣魚網址。惡意的網路釣魚網址註冊數量在2021年初逐漸增加,到2021年6月開始大幅成長。儘管後來新註冊的網路釣魚網址不像6月份數量如此之多,2021年整個夏季,駭客新創造以旅遊為主題的網路釣魚網址,還是遠多於2020年任何時候。 根據Unit 42的觀察,新的網路釣魚網址除了使用特製或新網域外,惡意份子也會利用bit.ly和bit.do等短網址服務,以及Google Cloud Storage上的Firebase服務等。Google是Firebase的提供者,Firebase支援行動裝置或網頁應用程式的開發者。Firebase提供包括雲端儲存功能,讓開發者可以儲存和提供使用者生成內容。由於Firebase使用GoogleCloud Storage,網路釣魚網址就可能利用它繞過Google信任評級的郵件保護機制。 Unit 42也注意到,並非所有網路釣魚網址都被惡意分子用來做定向攻擊;部分網址被用在惡意郵件攻擊活動,用來管理惡意內容,Dridex就是一例。 Dridex運用以旅遊為主題的網路釣魚網址 Dridex是一種典型透過惡意電子郵件大量傳播的惡意軟體,目的要竊取資料。背後的駭客通常利用發票或帳單為主題的電子郵件,這也是多數大量傳播惡意軟體的常用策略。被入侵或帶有惡意的網址託管了Dridex初始安裝程式,目的是建立後門存取。如果最初感染沒被發現,Dridex會透過建立的後門開始散佈後續的惡意軟體攻擊,包括勒索軟體。Dridex利用的網域通常是合法但已受病毒感染的網站。 惡意份子不當使用Firebase 駭客已經攻擊了多個旅遊機構,駭客也使用Firebase來管理網路釣魚頁面,用來針對旅遊業員工及其客戶。受害機構包括旅遊租賃線上平台、高級連鎖飯店、渡假村管理公司和Tui(英國途易)等航空公司。 惡意攻擊者如何運用網路釣魚竊取資料 網路犯罪份子通常希望從攻擊取得「資料」中獲利,對於蒐集到的旅客和旅遊機構的資料也不例外。我們注意到,惡意份子會透過兜售竊取來的帳戶憑證、客戶資料或付款資訊來牟利。 Unit 42研究人員也注意到疫情期間,網路罪犯在黑市販賣旅遊相關的產品與服務大幅減少,或許是由於全球旅遊限制的緣故,但我們預期供需將會隨著全球旅遊市場開放而增加。 竊取帳戶憑證 下面兩個原因將說明為何竊取來的使用者名稱、email與密碼,對犯罪者極具吸引力。首先,惡意份子取得被害者的里程數或飯店點數,可以輕易兜售牟利。其次,惡意份子可輕易地利用這些身分憑證,入侵或控制被害者在其他平台上的帳戶,如果這些平台也使用相同憑證的話。由於被竊取的登錄憑證,可以產生潛在的財務收益,強烈的黑市需求也促使惡意份子積極透過社交工程、暴力破解或攻擊較脆弱的系統,獲取相關資料。 竊取客戶資訊 旅遊機構有機會接觸大量資料,包括旅客的個人識別資訊 (PII)、付款資訊和聯絡資訊。最近一波 SITA passenger 服務系統攻擊,全球共有450萬名受害者的資料被入侵。雖然研究人員認為攻擊發起者為APT 41,但跡象也顯示有財務誘因的罪犯份子,對這些資料也很感興趣。 網路罪犯份子常透過以下三種方式不當使用此類竊取來的資料。 1. 盜用身份:運用從網站A竊取的個人資料在網站B上建立新帳戶。因為受害者對於網站B的帳戶不知情,日後也較不會被發現。 2. 搜集情报:利用資訊蒐集情報並替網路釣魚攻擊做準備。 3. 兜售資料:資料可輕易轉賣給其他罪犯份子、詐欺犯或不法行銷服務業者,做進一步利用。 竊取付款資訊 網路罪犯長年提供「影子旅行社」相關服務。他們透過各種社群媒體或Telegram等即時通訊平台接觸散客,提供超優惠的機票預訂、飯店、租車、共乘和出團服務。旅客將乾淨的錢付給「影子旅行社」,「影子旅行社」卻用竊取到的付款資料,支付實際服務供應商,如飯店或航空公司等。由於付款處理有時間差,服務供應商要等到數星期後,看到有爭議的信用卡交易或退費,才知道受騙。 旅遊業和國際旅客一直是網路罪犯的長期目標,他們容易成為財務和商譽上的受害者。駭客不僅販售偽造資訊,也兜售透過網路釣魚攻擊竊取來的資訊。我們注意到疫情期間,黑市裡以旅遊為主題的相關產品與服務顯著減少,可能是由於需求下降的緣故。然而,隨著旅遊業逐漸復甦,駭客們也開始將目光投向這個高利潤的領域,這也意味著全球旅客和旅遊業者將再度面臨駭客攻擊,必須更加留心網路釣魚。 Palo Alto Networks針對個人與組織提出以下幾種防禦作法: 針對個人: l 點擊任何可疑郵件中的連結或附件時要格外小心,特別是和個人帳戶設定或個人資訊有關,或試圖傳達急迫感的郵件。 l 驗證收件匣中任何可疑郵件的寄件人地址。 l 輸入登入憑證前,再三確認各網站的網址和資安認證。 l 回報任何可疑的網路釣魚攻擊。 針對組織: l 強化SASE部署,無論使用者、應用及裝置從何處連網,都能為組織提供安全存取、保護網路安全。 l 實施資安意識訓練課程,提高員工識別詐騙電子郵件的能力。 l 定期備份資料,防禦透過釣魚郵件進行的勒索軟體攻擊。 l 針對所有業務相關登入進行多因子認證,多一層資安防護。 針對不斷推陳出新的網路攻擊,身為全球網路安全領導品牌,Palo Alto Networks持續提出業界最完整的資安行動方案,在2022年獲Gartner評選為SD-WAN魔力象限領導者後,近日也再度獲得Gartner安全服務邊緣(SSE)魔力象限領導者的肯定。「我們是目前業界唯一一家同時獲選Gartner SSE和SD-WAN魔力象限領導者的SASE廠商」,Palo AltoNetworks台灣區總經理尤惠生表示:「未來,我們也將持續思考如何在保障安全性、擴充性、可用性,兼具生產力與最佳體驗的前提下,透過快速識別與修正,有效阻止零時差威脅,為積極佈局全球永續成長的台灣企業,提供強大的安全後盾。」 關於Unit 42 Palo AltoNetworks Unit 42匯集世界知名的網路威脅研究人員、事件回應專家和專業安全顧問,創建了一個情報驅動、隨時回應的組織,致力於幫助企業主動應對網路風險。作為企業值得信賴的安全顧問,我們的團隊共同協作,幫助企業評估和測試安全控制措施以應對威脅,透過威脅通知的方式協助擬定完善的安全策略,並不斷縮短事件回應時間,使企業盡快專注業務。更多詳情,敬請訪問paloaltonetworks.com/unit42。 關於Palo Alto Networks Palo AltoNetworks是全球網路安全領導者,致力於透過創新來超越網路威脅,讓企業能夠充滿信心地擁抱技術。我們在全球為成千上萬個來自不同領域的組織提供新世代網路安全支援。Palo AltoNetworks 一流的網路安全平台及服務以領先產業的威脅情報為後盾,並由最先進的自動化技術而強化。透過提供產品協助實現零信任企業、回應安全事件,或是與世界級的生態圈合作確保更好的安全成果,我們始終致力於幫助實現「每一天都比前一天更安全」的目標,而這正是Palo AltoNetworks 成為最佳網路安全合作夥伴的原因。 在Palo Alto Networks,我們承諾匯集最優秀的人才,為達成上述的使命而努力。所以我們也很自豪地成為網路安全領域的首選工作場所,並在近期獲選為新聞周刊「最受歡迎工作場所」(Newsweek MostLoved Workplaces, 2021) 、「多元化最佳公司」(NewsweekComparably Best Companies, 2021),以及HRC 「最佳LGBTQ平等企業」(HRC Best Places for LGBTQ Equality, 2022)。如欲瞭解更多資訊,請造訪 http://www.paloaltonetworks.com/。 追蹤Twitter、LinkedIn、Facebook和Instagram瞭解Palo Alto Networks最新資訊。 Palo AltoNetworks、Prisma以及Palo Alto Networks標誌為Palo Alto Networks公司在美國及全球其他地區的註冊商標。所有本文中出現的其他商標、企業名稱或服務,亦為各公司所擁有。
| 
