資安研究人員今天表示,駭客鎖定聯合國(UN)和人道援助組織員工,使用計謀誘騙他們洩露密碼。
資訊安全業者守望者(Lookout)公布的一份報告表示,今年年初以來,鎖定與聯合國相關救濟組織的駭客活動一直相當活躍,駭客手法是引誘員工進入假網站,可能從而竊取他們的身分驗證資訊。
守望者主要資安工程師李查茲(Jeremy Richards)告訴法新社,遭鎖定團體包括聯合國世界糧食計劃署(World Food Program)、聯合國兒童基金會(UNICEF)和紅十字會與紅新月會國際聯合會(International Federation of the Red Cross and Red Crescent Societies)。
駭客使用所謂「網路釣魚」策略,發送詐騙電子郵件,誘騙受害者上鉤。
這些詐騙訊息乍看之下合法,但通常含有誘騙連結或檔案,能引導受害者至惡意網站。
李查茲說:「我們發現許多網路釣魚。」
「但非政府組織(NGO)遭受如此大規模的駭客攻擊並不常見。」
根據守望者報告內容,駭客寄給潛在受害者的誘餌,包括以簡訊或電子郵件發送填寫問卷邀請或線上文件入口,附上看似為合法組織「登入頁面」連結,但實際上這是駭客用來竊取受害者資訊。
駭客使用的軟體經過特別設計,即使用戶迅速刪除密碼,駭客依舊能竊取密碼欄位的所有內容,且辨識用戶何時從行動裝置進行連線。
李查茲說:「如果目標未完成登入或不小心誤植另一組密碼,這些資訊仍會送回給駭客。」
一旦駭客取得一組電子郵件密碼,就可以獲得受害者其他線上帳戶的重設密碼連結,或者透過合法郵件交流來欺騙其他連絡人。
目前仍不清楚攻擊行動的主使者或成功得手的規模。
根據李查茲的說法,對聯合國團體發動網路釣魚所使用的網站顯然來自馬來西亞一個「防彈主機服務」(bulletproof hosting service),這能讓匿名電腦服務不受調查人員或政府的追查。
(新聞資料來源 : 中央社)
評論被關閉。