:::

Rti 中央廣播電臺 駭客鎖定聯合國人道援助組織 誘騙員工洩露個資

  • 時間:2019-10-25 13:38
  • 新聞引據:中央社
  • 撰稿編輯:林柏宏
駭客鎖定聯合國人道援助組織 誘騙員工洩露個資
駭客活動。(示意圖;pixabay圖庫)

資安研究人員24日表示,駭客鎖定聯合國(UN)和人道援助組織員工,使用計謀誘騙他們洩露密碼。

資訊安全業者守望者(Lookout)公布的一份報告表示,今年年初以來,鎖定與聯合國相關救濟組織的駭客活動一直相當活躍,駭客手法是引誘員工進入假網站,可能從而竊取他們的身分驗證資訊。

守望者主要資安工程師李查茲(Jeremy Richards)告訴法新社,遭鎖定團體包括聯合國世界糧食計劃署(World Food Program)、聯合國兒童基金會(UNICEF)和紅十字會與紅新月會國際聯合會(International Federation of the Red Cross and Red Crescent Societies)。

駭客使用所謂「網路釣魚」策略,發送詐騙電子郵件,誘騙受害者上鉤。

這些詐騙訊息乍看之下合法,但通常含有誘騙連結或檔案,能引導受害者至惡意網站。

李查茲說:「我們發現許多網路釣魚。」

「但非政府組織(NGO)遭受如此大規模的駭客攻擊並不常見。」

根據守望者報告內容,駭客寄給潛在受害者的誘餌,包括以簡訊或電子郵件發送填寫問卷邀請或線上文件入口,附上看似為合法組織「登入頁面」連結,但實際上這是駭客用來竊取受害者資訊。

駭客使用的軟體經過特別設計,即使用戶迅速刪除密碼,駭客依舊能竊取密碼欄位的所有內容,且辨識用戶何時從行動裝置進行連線。

李查茲說:「如果目標未完成登入或不小心誤植另一組密碼,這些資訊仍會送回給駭客。」

一旦駭客取得一組電子郵件密碼,就可以獲得受害者其他線上帳戶的重設密碼連結,或者透過合法郵件交流來欺騙其他連絡人。

目前仍不清楚攻擊行動的主使者或成功得手的規模。

根據李查茲的說法,對聯合國團體發動網路釣魚所使用的網站顯然來自馬來西亞一個「防彈主機服務」(bulletproof hosting service),這能讓匿名電腦服務不受調查人員或政府的追查。

相關留言

本分類最新更多