24 May 2022     

主動式 APT 未知釣魚誘餌防禦

80% 釣魚網址快閃詐騙

關鍵技術主動式 APT 未知釣魚誘餌防禦

    根據 2021 年 Atlas VPN 公布報告,攻擊郵件的三大來源國分別是 44% 美國、近 10% 俄羅斯、近 8% 德國,其中 68% 垃圾郵件與 32% 惡意郵件,惡意郵件包含 23% 釣魚誘餌郵件、7% 加密勒索郵件、2% 商業詐騙郵件,釣魚誘餌郵件包含含有惡意程式或超連結的惡意郵件,以及不含惡意程式、利用假冒身份或內容,誘騙收件者提供個人資訊的誘餌郵件或誘餌網頁。市面上的 APT 解決方案對於佔比 53% 的不含惡意程式或超連結的釣魚誘餌郵件與商業詐騙郵件,藉由後發性(遲至性)的釣魚資料庫攔截,成效只有 10~30%,因此改訴求提高員工警覺的社交工程演練,但當詐騙者的郵件內容和真的一模一樣時,這又讓防禦工作變得十分棘手。APT 攻擊者在蒐集情資階段常用手法:假冒廠商詢問合作機會、假冒信用卡帳單或電商訂單、假冒 FeDex 等物流、假冒政府單位,例如國稅局、健保局…、假冒資訊中心、O365、Gmail、Amazon…,請用戶修改密碼 (提供舊密碼);在設計誘餌階段常用手法:假冒廠商”電子信箱”寄送 BEC 商業詐騙信件,例如 PDF 合約與匯款資料、利用正當企業做為跳板、假冒知名企業發出詢價單。綜上所述,如能精準解析偽造(他人)、濫發(跳板)、匿名、非法、亂數、時差、中間人(BEC 商業詐騙)、公有雲代發攻擊(近年暴增)等通訊行為,就可以有效防禦未知釣魚誘餌攻擊。


BEC 商業詐騙藉由滲透電子郵件系統或使用者取得情報

企業須防止被滲透系統安全代理、帳號存取國別控管、使用者雙重身份認證

    APT 攻擊 50% 以上收入來自 BEC 商業詐騙,其攻擊分為滲透階段與詐騙階段,該如何防止被滲透?以被 APT 攻擊者視為情資大肥肉的郵件主機 Exchange 為例,如允許使用者外部存取,就必須做好 Exchange 系統 OWA、ECP、ActiveSync、ROH 安全代理、帳號存取國別控管、使用者雙重身份認證。安全代理可以執行 CDR 流量清洗與防駭掃描;帳號存取國別屬於蜜網防駭機制,第一時間捕抓未知入侵者;使用者第二道身份認證可藉由 SSL VPN、OTP(APP)、(裝置控管與資料不落地)MDM APP 達成。此外,用電子信箱放行引來 BEC 商業詐騙,宜採用新一代雙認證 MUA+MTA 放行機制,包含 MUA (環境、電子信箱) 與 MTA (主機 IP/國別、來源者標題),才能真正落實非黑即白、決定性的企業門戶政策。

<媒體聯絡人資訊>

新聞聯絡人:業務行銷處鄭淳文產品經理

聯絡電話:03-621-6700 分機 8820

電子郵件信箱:megan.cheng@armorxgt.com