This post is also available in: 简体中文 (簡體中文)
威脅情報小組Unit 42近期公布了「冠狀病毒的網路威脅」因應報告,隨著COVID-19蔓延到世界各地,許多網路攻擊者也藉機利用疫情期間發動網路攻擊,這次疫情爆發為網路攻擊者帶來的最佳時機,而是人類為了應對危機而改變的行為及模式。台灣在面對疫情的當前,也出現了許多以「Corona」為名的惡意軟體和惡意網域,近期也有不少業者利用一頁式網站銷售口罩,試圖欺騙消費者上鉤,趁機竊取消費者的個資。
威脅情報小組認為,該報告的目的不是助長人們對冠狀病毒或網路攻擊的恐慌與焦慮,而是幫助大眾瞭解正在發生的事情以及如何該如何保護企業及使用者。
利用COVID-19主題的網路釣魚/ 惡意軟體散佈
報告中提到,就像利用其熱門話題,攻擊者正在利用COVID-19所獲得的高度關注來誘使受害者打開惡意電子郵件的附件或點擊網路釣魚連結。這並非單純的一次性攻擊行為或攻擊行動,而是網路攻擊者利用大量病毒相關主題。Palo Alto Networks辨認出了含有COVID-19與遠程管理工具(例如NetWire,NanoCore和LokiBot)等相關關鍵字的惡意電子郵件,以及其他惡意軟體。
威脅情報小組整理出利用COVID-19為主題的網路釣魚/ 惡意軟體散佈如下:
- CORONAVIRUS(COVID-19)更新:自2020年3月開始的連續性商業計劃公告。
- 最新冠狀病毒動態
- UNICEF COVID-19 TIPS應用軟體
- POEA HEALTH ADVISORY re-2020新型冠狀病毒。
- 警告!新型冠狀病毒
威脅情報小組整理出利用COVID-19為主題的附件名稱包括:
- AWARENESS NOTICE ON CORONAVIRUS COVID-19 DOCUMENT_pdf.exe
- Coronavirus COVID-19 upadte.xlsx
- CORONA VIRUS1.uue
- CORONA VIRUS AFFECTED CREW AND VESSEL.xlsm
- covid19.ZIP
這個列表並非全面詳盡,未來會很快出現新的變化。這些情況估計將在未來幾週和幾個月內持續下去,攻擊者也會根據頭條新聞的發展而有所變化。Palo Alto Networks同時發現利用與稅務申報、發票和運輸訂單等相關的主題也是駭客常見攻擊的目標。
偽應用程式
當人們尋找有關COVID-19的訊息(例如它如何影響以及如何確保安全)時,許多人都是透過智慧型手機搜尋資料。已經有多起聲稱提供有關病毒訊息的惡意Android應用程式案件。這使攻擊者可以透過使用者的裝置進行監視,或者對裝置進行加密並用以勒索。
與往常一樣,Android使用者不應從不受信任的來源(應堅持到Google Play商店)安裝應用程式,iPhone使用者也不應越獄到第三方來源安裝應用程式。
COVID-19主題網域名稱
在過去的幾週已經有數千個(實際上超過十萬個)使用包了含「covid」、「virus」和「corona」等術語註冊的網域。這些網域並非全部都是惡意的,但都可以被視為可疑網域。無論他們聲稱擁有資訊、檢驗工具還是治療方法,這些網站在疫情成為新聞之前都不存在的事實,應該對其有效性保持懷疑。
企業該如何自我保護
一般情形下,Palo Alto Networks所推薦的最佳方案,仍是保護企業及使用者免受這些威脅影響的正確方法。Palo Alto Networks的產品和服務旨在防止COVID-19相關主題的威脅,與防止其他誘使使用者點擊連結和打開附件的訊息一樣有效。可以考慮採取以下措施,以確保受到Palo Alto Networks的保護。
- 遠端工作時,請將企業帳戶和個人帳戶分開。從個人到企業流失的風險可能對公司或政府組織有害。
- 執行最佳的基本防護做法,例如使用更強的密碼並定期更改,使用多重身份驗證,身份管理和設備安全設置。
- 確保使用者知道如果設備以任何其他方式遺失,被盜或損壞時該怎麼做。 確保IT和安全團隊擁有適當的工具進行監視和跨雲端的權限。
- 在雲端採用與內部軟體相同的原則,包括最重要的保護措施,資源優先的決定,以及能夠審查和阻止對核心任務構成最大風險威脅的決策。
- 最重要的是,請試著讓事情盡可能簡單。 在不確定的環境中,避免複雜性。