警惕利用邮件附件的诈骗手法
小心“回复”“下载”操作
近期通过电子邮件实施的网络攻击日益猖獗,亟须提高警惕。其方式是:一旦下载邮件中附带的附件文件,就会运行勒索软件或恶意代码。
“就朝鲜导弹威胁相关事宜请求采访”
据自由亚洲电台(RFA)9日报道,本月7日,从事朝鲜相关行业的部分人士收到了自称是KBS报道局统一外交部记者发送的电子邮件。
邮件标题为“关于KBS采访请求事宜”,正文写道:“就朝鲜急剧增加的导弹威胁,拟仅以对韩中关系、韩日关系、朝核谈判及武器体系开发等持有不同观点的专家为对象,提出采访请求。”在结尾处又写道:“我将一直等待您的回复”,以此诱导收信人回信。
该邮件的攻击方式是:只有在收信人回复邮件后,才向其发送附带恶意文件的回信并实施攻击。专家分析认为,本次网络攻击的幕后主体是朝鲜。
一旦下载黑客发送的恶意文件,电脑中保存的数据就有可能被窃取,黑客也可能对受感染电脑进行监视。
此次攻击的特点在于,朝鲜黑客利用了地址为“mpevalr.ria[.]monster”的俄罗斯服务器,并冒充KBS在职记者。虽然已与有关部门协作,阻断了来自该服务器的韩国境内访问,但由于不排除出现变种攻击的可能性,因此仍需高度警惕。
此前,朝鲜曾冒充国民年金公团和警察厅网络安全局等机构实施过黑客攻击尝试。
上月底,以“【重要】网络安全局通知”为标题,以及本月初以“【国民年金公团】关于确认参保记录通知”为标题发出的电子邮件,被证实其目的在于窃取收信人的个人信息。专家认为,这是通过激发好奇心和不安情绪实施攻击的典型朝鲜黑客手法。
根据美国网络安全企业Recorded Future本月2日发布的《2022年决算报告》,朝鲜黑客组织“BlueNoroff(APT38)”和“Lazarus”等一直在发动大范围网络攻击,预计今年也将继续积极开展网络攻击。
“看到招聘公告后与您联系”
伪装成招聘的黑客攻击也在进行之中。
8日,East Security安全应对中心(ESRC)表示,有人通过伪装成求职申请书等的网络钓鱼(phishing)邮件散布Lockbit勒索软件和Vidar恶意代码,并提醒各方提高警惕。
勒索软件(Ransomware)一词,是表示“赎金”的Ransom与表示“软件”的Ware的合成词。黑客通过这种方式让文件或系统完全瘫痪,然后以解锁为条件索要金钱。
本次勒索软件攻击的主要目标是公营企业。黑客向发布招聘公告的企业人事负责人发送邮件,附上看似求职申请书的压缩文件,并在邮件中写道“看到招聘公告后与您联系”“无论何时都可以参加面试或上班”等内容。
收信人下载压缩文件后,用邮件正文中写明的密码解压,就会看到韩文文档或Excel文件图标。但这实际上是仅更改了图标的“exe”可执行文件。通过更改文件图标来诱导收信人下载并运行。
若收信人为了查看求职申请书而运行该文件,勒索软件就会植入电脑。
勒索软件会将用户电脑中的本地驱动器、已连接的网络共享驱动器及共享文件夹全部加密,并将扩展名改为“Lockbit”。这不仅使文件几乎无法恢复,还会生成勒索说明文件并更改桌面壁纸。直到此时,用户才意识到自己的电脑已感染勒索软件。
还有另一种攻击方式。黑客同样伪装成求职申请书,散布信息窃取型恶意代码“Vidar”的变种。用户一旦运行该文件,其电脑就会连接到外部服务器,一系列程序被安装到电脑中,之后黑客便会窃取存储在电脑中的各类信息。
版权所有 © 阿视亚经济 (www.asiae.co.kr)。 未经许可不得转载。
