惡意程式
2021 年高風險電子郵件威脅數量突破 3,360 萬封,較前一年成長 101%
本報告整理了 2021 年最重要的一些電子郵件威脅數據,例如:趨勢科技 Cloud App Security 偵測到的高風險電子郵件威脅數量突破 3,360 萬封 (較 2020 年成長 101%)。
電子郵件是數位轉型不可或缺的一環,這一點在 2021 年尤其明顯,因為在全球疫情期間,企業為了維持正常營運而徹底改變了工作模式。儘管大部分員工都已改成在家上班,但駭客依然偏愛使用電子郵件這種低成本、高報酬的惡意程式散播途徑。
犯罪集團之所以偏愛電子郵件,是因為它簡單、有效。事實上,在趨勢科技 2021 年攔截的所有威脅當中,有 74.1% 都是電子郵件威脅。同時,美國聯邦調查局 (FBI) 網際網路犯罪申訴中心 (Internet Crime Complaint Center,簡稱 IC3) 所做的 2021 年網路犯罪報告也指出,去年網路攻擊與惡意網路活動數量再創新高,其中最多的是變臉詐騙攻擊(或稱為商務電子郵件入侵,簡稱 BEC)。
本報告根據趨勢科技 Cloud App Security™ 電子郵件防護平台蒐集到的資料來探討 2021 年最重要的一些電子郵件威脅,這套平台可彌補主流電子郵件與協同合作平台內建防護功能的不足。
惡意程式偵測數量暴增,攻擊日益精密且更具針對性
2021 年,趨勢科技 Cloud App Security 總共偵測並攔截了 3,315,539 個惡意程式檔案,更令人擔憂是,這數字較 2021 年大幅成長 196%。此外,2021 年已知與未知惡意程式的偵測數量也分別成長 133.8% 與 221%。
2021 年,網路犯罪集團不眠不休地利用各種進階技巧與社交工程誘餌在電子郵件當中夾帶惡意程式。1 月份,我們看到 Emotet 散發使用 16 進位與 8 進位編碼的 IP 位址來躲避偵測,並利用 TrickBot 和 Cobalt Strike 來散播惡意程式。
去年 5 月,我們曾指出 Panda Stealer 資訊竊取程式利用垃圾郵件試圖竊取虛擬加密貨幣錢包與登入憑證。此外,我們也發表了一篇有關 APT-C-36 (也就是 Blind Eagle) 進階持續性滲透攻擊 (APT) 集團的最新發展,包括該集團利用垃圾郵件假冒哥倫比亞國家稅務與海關單位攻擊南美企業機構,甚至有些電子郵件謊稱含隨信附上收件人另一半出軌的照片為誘餌。
QAKBOT 在沉寂了將近 3 個月後,2021 下半年又開始發動垃圾郵件攻擊並試圖攔截受害者的郵件對話串來誤導受害者下載 QAKBOT 與 SquirrelWaffle 惡意程式載入器。
另一方面,2021 年勒索病毒 偵測數量持續下滑,延續了前幾年的走勢。去年,趨勢科技 Cloud App Security 偵測並攔截了 101,215 個勒索病毒檔案,較 2020 年減少 43.4%。
勒索病毒數量之所以持續萎縮,有兩個可能的原因:第一,有別於舊式勒索病毒亂槍打鳥、大量散布的作法,現代化勒索病毒傾向於瞄準預先設定的目標以換來更大獲利。正因今日的勒索病毒集團早已捨棄亂槍打鳥的方式,所以攻擊數量變得不像以往那麼高。另一個原因,我們在該年的年度資安報告當中也有提到,那就是:由於我們的網路資安產品攔截了更多專門用來散播勒索病毒的工具,包括 TrickBot 和 BazarLoader,使得勒索病毒偵測數量銳減,因為駭客的勒索病毒攻擊執行到一半就被阻斷而無法順利完成。
2021 年的已知、未知與整體登入憑證網路釣魚攻擊數量增加
根據趨勢科技 Cloud App Security 的資料,2021 年我們偵測並攔截了 6,299,883 次登入憑證網路釣魚攻擊,整體而言成長 15.2%。跟去年的情況類似,已知登入憑證網路釣魚攻擊的數量較未知的更多。但今年的數量增加幅度驚人,高達 72.8%。若比較 2020 年與 2021 年的數字,我們發現已知登入憑證網路釣魚連結的偵測數量增加了 8.4%,未知登入憑證網路釣魚連結偵測數量則增加了 30%。
Abnormal Security 在 2021 年的一份報告中指出,登入憑證網路釣魚的整體數量呈現增加的趨勢,且登入憑證網路釣魚在他們分析的所有進階威脅當中占了 73%。同時,我們也發現登入憑證網路釣魚攻擊數量較前一年增加。事實上,2019 上半年,趨勢科技 Cloud App Security 光登入憑證網路釣魚攻擊就偵測及攔截了 240 萬次。
◼延伸閱讀: 駭客跟著你一起在家上班! 登入憑證網路釣魚「疫」常激增
少量的變臉詐騙造成龐大的企業損失
2021 年趨勢科技 Cloud App Security 總共攔截了 283,859 次變臉詐騙攻擊,與 2020 年的變臉詐騙數量相比增加了 10.61%。有趣的是,今年由 Writing Style DNA (寫作風格 DNA) 技術偵測到的變臉詐騙數量成長了 82.7%,反觀使用垃圾郵件防護引擎攔截到的攻擊數量卻減少了 38.59%。
整體而言,變臉詐騙數量從 2020 年開始便一直呈現下滑的趨勢。不過,變臉詐騙受害機構數量減少,並代表網路犯罪集團的獲利也減少。根據美國聯邦調查局 IC3 指出,變臉詐騙在 2021 年造成企業與消費者大約 24 億美元的損失。該機構更進一步指出,從 2016 年 6 月至 2021 年 12 月,變臉詐騙事件在全球已造成 430 億美元以上的損失。
不僅如此,我們也觀察到變臉詐騙集團會持續變換手法來維持獲利。去年 8 月,我們的監測資料顯示變臉詐騙數量逐漸增加,經過調查之後發現這一波變臉詐騙一改以往假冒企業高層主管的作法,開始假冒及攻擊企業一般人員來從事匯款與薪資轉帳帳號變更詐騙。
Covid-19 誘餌、網路釣魚數量暴增背後的網路犯罪行動
根據趨勢科技 Cloud App Security 的資料顯示,我們在 2021 年總共偵測並攔截了 16,451,166 次網路釣魚(Phishing),比 2020 年大幅成長 137.6%。與去年相比,今年經由垃圾郵件發動的網路釣魚攻擊數量暴增,確切來說成長了 596%。登入憑證網路釣魚數量則較去年增加 15.26%。
這些驚人數字的背後也反映了企業對網路釣魚攻擊的態度,根據 Osterman Research 一份名為「如何降低網路釣魚和勒索病毒風險」(How to Reduce the Risk of Phishing and Ransomware) 的研究報告指出,企業「擔心」或「極為擔心」網路釣魚會攻擊會到達使用者端,也擔心員工因為無法分辨網路釣魚和社交工程技巧而點選其中的連結或附件檔案。
儘管絕大多數的 Covid-19 相關網路釣魚郵件與網站都是出現在 2020 年,但目前網路犯罪集團仍試圖利用這場全球疫情來獲利。去年,墨西哥 El Chopo 醫療實驗室通報了一個跟他們公司網站長得一模一樣的假網站。假網站宣稱使用者可以支付 2,700 墨西哥幣 (約 130 美元) 就能預約施打疫苗。駭客為了讓假網站看起來真實,甚至提供了假的聯絡資訊 (電子郵件地址和社群媒體網頁) 來讓使用者詢問相關事宜。
去年初,我們指出有一波網路釣魚郵件假冒國家郵政機關名義,試圖在全球 26 國竊取信用卡卡號。此外,我們也調查到一波魚叉式釣魚(spear phishing)攻擊行動使用 Pegasus (飛馬) 間諜軟體相關的郵件來引誘使用者下載一個檔案竊取程式。這波行動瞄準了 11 個國家的政治領袖、行動主義分子與記者。
使用趨勢科技 Cloud App Security 防範針對電子郵件、端點以及雲端服務和應用程式的攻擊
企業應考慮採用一套全方位多層式防護,如 趨勢科技 Cloud App Security,它可補強 Microsoft 365 與 Google Workspace (原 G Suite) 這類電子郵件與協作平台內建資安防護的不足,運用機器學習 (ML) 技術來分析並偵測郵件內文與附件檔案中的可疑內容,此外也可擔當 Microsoft 365 或 Gmail 內建電子郵件與檔案掃描之後的第二道防護。
趨勢科技 Cloud App Security 採用沙盒模擬惡意程式分析、文件漏洞攻擊偵測,以及檔案、郵件、網站信譽評等技術來偵測暗藏在 Microsoft 365 或 PDF 文件中的惡意程式。它能為 Box、Dropbox、Google Drive、SharePoint Online、OneDrive for Business 以及 Salesforce 提供資料外洩防護 (DLP) 與進階惡意程式防護,此外又能跨多重雲端應用程式套用一致的 DLP 政策。除此之外,還能與企業現有的雲端環境密切整合,完整保留所有的使用者與系統管理功能,透過廠商的 API 提供雲端對雲端直接整合,並且在沙盒模擬惡意程式分析之前預先執行一次威脅風險評估來降低資源需求。
趨勢科技 Cloud App Security 是電子郵件防護與軟體服務 (SaaS) 防護的先驅,採用機器學習技術來對抗電子郵件的兩種主要威脅:變臉詐騙與登入憑證網路釣魚。Writing Style DNA (寫作風格 DNA) 採用機器學習技術從使用者過去的電子郵件分析出使用者的寫作風格,然後再與可疑郵件比對來判斷郵件的真偽。此外更提供結合影像分析與機器學習的電腦視覺技術來檢查網站上的品牌元素、登入表單以及其他網站內容,然後將這些資訊與網站信譽評等以及光學文字辨識 (OCR) 技術搭配來檢查冒牌及惡意網站,這一切都有助於降低誤判並偵測登入憑證網路釣魚郵件。
此外,這套解決方案還提供一個功能來重新掃描使用者電子郵件 Metadata 中的舊網址,並使用網站信譽評等服務提供的最新特徵資料來執行持續矯正 (自動執行預先設定的動作,或復原被隔離的郵件)。
這是一項很重要的功能,因為使用者的電子郵件 Metadata 有可能包含一些最近才被發現、因此之前未偵測到的可疑或危險網址。所以,針對這類 Metadata 的檢查是鑑識分析調查工作很重要的一環,能協助您判斷自己的郵件服務是否受到攻擊的影響。此外,這套解決方案也正式支援點閱二次防護 (Time-of-Click Protection) 功能,可防範 Exchange Online 使用者在收到的郵件內點選網址時的潛在風險。
趨勢科技 Cloud App Security 同時還具備 Trend Micro XDR 的進階及延伸功能,提供涵蓋端點、電子郵件、伺服器的威脅調查、偵測及回應能力。