中國臺灣刑事局近日宣布偵破黑客四月底冒用臺灣健保局北區(qū)業(yè)務組名義進行目標性攻擊竊取個人信息一案，在這起案件中，黑客使用了惡意木馬程序“TROJ_GHOST.ZZXX”與后門程序“BKDR_GHOST.ZZXX”進行攻擊，并導致一萬多筆中小企業(yè)個人信息外泄。

研究發(fā)現(xiàn)，黑客假冒健保局名義發(fā)動定制化的社交郵件工程攻擊。首先，黑客通過發(fā)送大量署名健保局北區(qū)業(yè)務組的郵件，其中內(nèi)含“員工修正補充要點下載修正”的鏈接，用戶一旦點擊此鏈接將被轉(zhuǎn)至另一個網(wǎng)址并自動下載一個名為“二代健保補充保險費扣繳辦法說明”的RAR壓縮文件。

【黑客針對特定中小企業(yè)發(fā)動定制化社交郵件工程攻擊】

受害者一旦點擊并下載文件后，將會看到一個看似為Doc文件（實際上是執(zhí)行文件的附件）；下載執(zhí)行后，電腦將被植入木馬程序與后門程序，并會強制重啟。隨后，惡意程序會全面啟動，黑客可以遠端監(jiān)看用戶的電腦桌面并瀏覽、復制電腦中文件內(nèi)容，進而再利用用戶電腦內(nèi)通訊錄等信息進行下一波針對性攻擊，如法炮制成功盜取了高達1萬多筆個人信息。

【解壓縮后發(fā)現(xiàn)其為一看似Doc文件的執(zhí)行文件，一旦執(zhí)行后將下載木馬程序與后門程序，造成用戶電腦門戶洞開】

據(jù)進一步分析發(fā)現(xiàn)，該后門程序?qū)儆贕HOST惡意程序家族，可能造成受攻擊中小企業(yè)的財務會計相關(guān)信息外泄，不排除相關(guān)信息可能被用于相關(guān)詐騙行為。

此波攻擊除了通過常用的社交工程手法之外，其針對收件人定制的郵件主題及稱謂更是讓收件者疏于查證而輕易點擊，所以防不勝防。并且郵件中內(nèi)含的相關(guān)鏈接網(wǎng)頁轉(zhuǎn)址到浮動IP以避開相關(guān)信息安全軟件的追查，并以信息安全意識相對較低的特定中小企業(yè)主財會相關(guān)人員為攻擊目標發(fā)送，以提升攻擊的成功率。

面對社交郵件工程攻擊，安全專家建議中小企業(yè)主及民眾應注意以下事項：

選取合法并可過濾郵件中有害鏈接的信息安全防護軟件。

點選來路不明郵件中的附加檔案或是鏈接前需慎重，如果不確定此封郵件真?zhèn)?，建議致電該單位或至官方網(wǎng)站查詢。

持有公司敏感信息的人員如財務、人事等，需對來路不明的信件中附件文件抱持戒慎的心態(tài)。