垃圾郵件詐騙手法翻新 瞄準高階主管

垃圾郵件發送業者為了提高對企業機密資料的掌控程度，鎖定高階主管作特定攻擊（Target Attack），形同真實世界中的詐騙手法重現網路世界。另外，垃圾郵件發送的過程，最終導向線上藥局進行威爾剛偽藥購物的流程，形成一種龐大的網路犯罪商機。資安顧問表示，這種方式也開始在臺灣看到發展的跡象。

高階主管成攻擊的對象
高階主管有權閱讀機密資料，一旦防護產生疏漏，這些高階主管將成為企業機密資料外洩的重要途徑。美國4月發生的美國法院傳票垃圾郵件事件就是最好的例子。

垃圾郵件發送業者掌握企業CEO（執行長）完整個資，以美國法院傳票之名，進行魚叉式釣魚網站攻擊。資安廠商Cisco IronPort臺灣暨華南區技術顧問總監林育民表示，這起假冒美國法院發送傳票的資安事件，在美國地區造成轟動，主要是因為垃圾郵件發送業者，透過完整收集到企業CEO的個人資料，讓執行長對該垃圾郵件不疑有他，同意下載Active X、形同植入惡意程式，讓垃圾郵件發送業者有機會竊取機密資料。林育民說，這個案例特殊之處也在於，整個攻擊的過程，更橫跨美洲、歐洲、非洲和亞洲等4大洲。

企業進行垃圾郵件過濾時，往往會設定一些誘捕帳號，從誘捕帳號的垃圾郵件，進而設定企業垃圾郵件過濾的規則。林育民指出，因為該信件真實度過高，許多企業預設的誘捕帳號並沒有順利攔阻，進而設定為企業垃圾郵件規則。這讓許多接到該垃圾郵件的企業執行長相信該信件的確為法院傳票，進而點選信上的惡意連結。由於瀏覽該網站時，會要求同意安裝數位文件簽章的Active X，一旦同意下載，就等於是下載惡意程式在該執行長的電腦中，相關的重要機密文件、帳號、密碼等，都有外洩的疑慮。

若進一步分析這次的垃圾郵件攻擊手法，則首度橫跨全球四大洲，網站註冊在倫敦（歐洲），使用非洲的ISP服務、在美國設立假網站（美洲），DNS主機座落在中國（亞洲），傀儡電腦的控制主機則在新加坡（亞洲）。林育民指出，這種垃圾郵件的詐騙手法與現實生活中的手法相似度越來越高，當垃圾郵件廠商能透過各種管道掌握高階主管真實個人資料時，單純的黑白名單的阻擋方式已經不夠，如何能更進一步掌握，惡意網站主機信譽評等相關資料作為垃圾郵件判斷的參考，才有助於提高垃圾郵件攔阻的機率。

垃圾郵件發送過程形成一個不可破犯罪循環
除了瞄準高階主管之外，整個垃圾郵件發送的過程，也形成一個犯罪鏈。Cisco IronPort技術長Patrick Peterson在長達半年的研究中發現，有一種夾帶Storm Worm惡意程式的混合式垃圾郵件攻擊手法，與網路犯罪連結性越來越密切，甚至形成一種網路犯罪的循環。

Patrick Peterson指出，在2007年1月，美國開始流傳一封標題為「有230人死於歐洲暴風雨」的垃圾郵件。這不是一般廣告式的垃圾郵件，混合多種攻擊手法，從大量垃圾郵件發送開始，包含釣魚網站攻擊、夾雜惡意連結的徵才郵件，傀儡網站或者是P2P的管道，都可以發現這樣夾雜Storm Worm惡意程式的垃圾郵件。

Patrick Peterson研究發現，整個垃圾郵件發送的過程就是一個生命周期。他說，從大量垃圾郵件感染開始，便利用各種社交工程手法，誘使受害者閱讀垃圾郵件、點選惡意連結，連上惡意網站，一連網就下載Storm Worm惡意程式，下載惡意程式的電腦成為被控制的傀儡電腦網路新成員，進而透過垃圾郵件和釣魚網站的手法，將網址轉向一個加拿大線上藥局的惡意網站，若從線上訂購藥品，從印度與中國寄出該訂購藥品。「這個網路犯罪商機，每年盈餘高達1.5億美元。」他說。

這些垃圾郵件從全球10.6萬臺傀儡電腦對外發送，每天會產生100個新的網域名稱，發送數量每天超過15億封。而這些垃圾郵件的內容和URL網址，平均每15分鐘會變形一次。這些網址最後連結到一家線上藥局，主要是販售來自中國和印度出貨的威爾剛等藥品，整個線上購物流程，甚至還有後續的客服追蹤和客戶資料驗證機制。林育民觀察發現，類似的惡意程式蔓延狀況，也開始在臺灣發生。文⊙黃彥棻