中國(guó)臺(tái)灣刑事局近日宣布偵破黑客四月底冒用臺(tái)灣健保局北區(qū)業(yè)務(wù)組名義進(jìn)行目標(biāo)性攻擊竊取個(gè)人信息一案，在這起案件中，黑客使用了惡意木馬程序“TROJ_GHOST.ZZXX”與后門程序“BKDR_GHOST.ZZXX”進(jìn)行攻擊，并導(dǎo)致一萬多筆中小企業(yè)個(gè)人信息外泄。

研究發(fā)現(xiàn)，黑客假冒健保局名義發(fā)動(dòng)定制化的社交郵件工程攻擊。首先，黑客通過發(fā)送大量署名健保局北區(qū)業(yè)務(wù)組的郵件，其中內(nèi)含“員工修正補(bǔ)充要點(diǎn)下載修正”的鏈接，用戶一旦點(diǎn)擊此鏈接將被轉(zhuǎn)至另一個(gè)網(wǎng)址并自動(dòng)下載一個(gè)名為“二代健保補(bǔ)充保險(xiǎn)費(fèi)扣繳辦法說明”的RAR壓縮文件。

【黑客針對(duì)特定中小企業(yè)發(fā)動(dòng)定制化社交郵件工程攻擊】

受害者一旦點(diǎn)擊并下載文件后，將會(huì)看到一個(gè)看似為Doc文件（實(shí)際上是執(zhí)行文件的附件）；下載執(zhí)行后，電腦將被植入木馬程序與后門程序，并會(huì)強(qiáng)制重啟。隨后，惡意程序會(huì)全面啟動(dòng)，黑客可以遠(yuǎn)端監(jiān)看用戶的電腦桌面并瀏覽、復(fù)制電腦中文件內(nèi)容，進(jìn)而再利用用戶電腦內(nèi)通訊錄等信息進(jìn)行下一波針對(duì)性攻擊，如法炮制成功盜取了高達(dá)1萬多筆個(gè)人信息。

【解壓縮后發(fā)現(xiàn)其為一看似Doc文件的執(zhí)行文件，一旦執(zhí)行后將下載木馬程序與后門程序，造成用戶電腦門戶洞開】

據(jù)進(jìn)一步分析發(fā)現(xiàn)，該后門程序?qū)儆贕HOST惡意程序家族，可能造成受攻擊中小企業(yè)的財(cái)務(wù)會(huì)計(jì)相關(guān)信息外泄，不排除相關(guān)信息可能被用于相關(guān)詐騙行為。

此波攻擊除了通過常用的社交工程手法之外，其針對(duì)收件人定制的郵件主題及稱謂更是讓收件者疏于查證而輕易點(diǎn)擊，所以防不勝防。并且郵件中內(nèi)含的相關(guān)鏈接網(wǎng)頁轉(zhuǎn)址到浮動(dòng)IP以避開相關(guān)信息安全軟件的追查，并以信息安全意識(shí)相對(duì)較低的特定中小企業(yè)主財(cái)會(huì)相關(guān)人員為攻擊目標(biāo)發(fā)送，以提升攻擊的成功率。

面對(duì)社交郵件工程攻擊，安全專家建議中小企業(yè)主及民眾應(yīng)注意以下事項(xiàng)：

選取合法并可過濾郵件中有害鏈接的信息安全防護(hù)軟件。

點(diǎn)選來路不明郵件中的附加檔案或是鏈接前需慎重，如果不確定此封郵件真?zhèn)?，建議致電該單位或至官方網(wǎng)站查詢。

持有公司敏感信息的人員如財(cái)務(wù)、人事等，需對(duì)來路不明的信件中附件文件抱持戒慎的心態(tài)。