2020 年第二季，全球仍然籠罩在新冠肺炎的疫情中，且疫情的嚴重及影響程度已遠超第一季。許多企業採取分梯次在家上班的模式，以確保人員的健康以及組織的正常運作。然而，工作模式的改變加重了對網路的依賴，也因為人與人彼此見不到面，各種詐騙、資安破口就容易被攻擊者所利用。

ASRC 研究中心 (Asia Spam-message Research Center) 在2020年第二季觀察到幾個值得注意的郵件安全議題：

偽造釣魚郵件相較上季增加，出現不少偽冒企業管理者發送的釣魚郵件
第二季偽造企業組織通知、收貨確認通知…等釣魚郵件明顯增長，相較於上季大約成長了 24%，並且集中在六月份。

• 為數最多的是偽造企業管理者發送郵件帳號密碼相關問題的釣魚郵件，會在收信者點擊連結後導向釣魚頁面，這個釣魚頁面通常寄宿於被入侵的 WordPress 網站；
• 其次為假的語音與檔案遞送通知，這些通知除了部分寄宿於被入侵的 WordPress 網站，部分則是使用免費的表單或網站生成器做為釣魚頁面，還有少量直接夾帶惡意附件檔案；
• 最後是假的貨物運送或商業交易確認，部分寄宿於被入侵的 WordPress 網站、部分則直接將釣魚頁面的 HTML 放在附件檔內試圖避開瀏覽器對網址的警示與檢查，還有一部分則是直接夾帶以 RAR 壓縮後的惡意執行檔。

釣魚頁面通常寄宿於被入侵的 WordPress 網站

病毒郵件數量明顯增加，夾帶惡意映像檔或壓縮格式檔案居多
病毒郵件同樣集中在六月份，數量較上一季成長約 60%，以夾帶惡意 .img 檔為最大宗，佔總量 1/3 以上。這些 .img 檔中包含一個惡意 .exe 可執行檔案，在 Windows 環境下被雙擊後，會自動掛載成為一個虛擬光碟，便可讀取其中的 .exe 檔；此外，網路上也有人教學如何以 7-Zip 解出映像檔內的內容，若收到此類惡意攻擊時缺乏資安意識，而以如何開啟該類檔案的目的在網路上尋找答案，也可能因此曝險！
在第二季，比較特別的是病毒郵件較常用的壓縮檔格是分別為 .ace 與 .rar，甚至比 Windows 內建能解壓縮的.zip壓縮格式還要多。WinRAR 自 2015 年即對中國個人用戶開放免費，許多中國的 PC 安裝完成後也會安裝免費的 WinRAR 作為預設的壓縮或解壓縮的工具；但是自 CVE-2018-20250、CVE-2018-20251、CVE-2018-20252、CVE-2018-20253 被揭露以來，常見的免費或可免費試用的解壓縮軟體諸如：WinRAR、7-Zip、Peazip …等，均已不再支援 .ace 的解壓縮，.ace 的病毒附件會不會是刻意面向某些族群？值得玩味。

夾帶 .ace 壓縮檔的病毒郵件仍四處散播

來自新域名的郵件，假藉口罩販售進行詐騙
全球第二季仍在新冠肺炎的籠罩之中，許多地區對於口罩的供應還是匱乏的，第二季我們發現有許多口罩銷售的電子郵件，指向一些新註冊的域名。這些域名被註冊的時間都在半年內，甚至更短，並且在一段時間後就無法拜訪，極可能是詐騙。這類郵件較上一季成長了約3.7倍，集中在六月份。

口罩銷售的電子郵件，指向一些新註冊的域名

漏洞利用在四月達到高峰，受國家資助的 APT 族群利用疫情發動郵件攻擊
附件使用已被揭露的 Office 漏洞的電子郵件攻擊，在四月份達到高峰。
受到國家資助支持的 APT 族群，也在5月份頻繁地嘗試以電子郵件發動攻擊，且大多假藉疫情的議題寄發公告通知、口罩相關資訊，或偽冒 CDC 免費分發防護設備，要求相關人員開啟並填寫附件調查表格，藉以誘導收件者開啟惡意附件！

假防疫設備支援名義，試圖攻擊相關業者

綜整了第二季惡意郵件社交工程特徵，其中一大部分是促使人「發急」，例如：很急的訂單、要求盡快回覆或查看附檔、電子信箱有狀況將被停用、被入侵了…等。因為很急，所以後續的作為就可能脫離原有的標準作業流程，加上遠距上班的因素，再確認的工作可能因此變得難以落實，就很容易落入攻擊者的陷阱。遠距上班的期間，別忘了「急事緩辦，事緩則圓」，對於任何有疑慮的來信都應當給予最小的信任，充分再確認才能免除後續資安危機。

2020年第一季過得十分不平靜，讓世界各國都繃緊神經的話題，莫過於防疫相關問題。不論是疫情的擴散速度、防疫保護的措施，抑或是物資採買、捐贈等都是被熱烈討論的話題。正當實體世界疫情蔓延時，網路世界同樣受到疫情波及，駭客利用大眾對疫情的關注假藉新冠肺炎發動攻擊。ASRC 研究中心 (Asia Spam-message Research Center) 在2020年第一季觀察到幾個值得注意的郵件安全議題：

遠端工作模式成為駭客攻擊目標，造就各種詐騙氾濫
2020第一季，全球在新冠肺炎影響下，保持「社交距離」改變了人類生活接觸的方式。許多企業為保住服務與業務能量，在可行的情況下紛採行在家上班的工作模式。這樣的工作模式帶來了下列的影響：
．網路流量的需求在短時間劇烈上升
．遠端連線、遠距會議、VPN的需求大增
．人們直接見面接觸的情況大幅下降
這些影響，可能會帶來針對遠端作業軟體的攻擊嘗試，以及各種詐騙的氾濫。

病毒郵件相較上季增加 340%、詐騙郵件爆增 400%
根據 ASRC 研究中心 (Asia Spam-message Research Center) 的觀察，第一季的整體郵件量微幅上升，尤其是新冠肺炎對全球影響最劇烈的三月份；病毒郵件量則明顯激增，相較於上一季，大約增加了340%，增加幅度最高也是在三月；詐騙郵件的數量在本季也較上季增加約400%。

藉名新冠肺炎的攻擊，目的以詐財或入侵企業為大宗
在疫情逐漸蔓延的第一季，許多攻擊也藉著疫情之名，試圖誘騙收件者開啟惡意攻擊郵件。這些假藉疫情之名的攻擊郵件，其主旨多半會帶上cdc、covid、corona、spread這些關鍵字眼。
以目的來說，數量最大宗的為詐騙郵件，多半假藉研究或衛生單位，以研究或幫助世界的名義，請求收件人捐錢；當然也有詐騙郵件誆稱可購買疫苗或篩檢試劑，一樣是以詐騙金錢為目的。

募款購買防疫物資的詐騙郵件

另一種目的則是試圖透過電子郵件嘗試入侵企業單位內部，以利進行後續的竊資、部署勒索軟體等目的。這類攻擊，多半直接寄送可利用Office漏洞的惡意文件，並以疫情相關主題誘騙收信人開啟，試圖藉此提高攻擊成功機率。經統計，此類型攻擊常用的漏洞編號為：CVE-2012-0158、CVE-2017-11882、CVE-2017-0199以及CVE-2017-8570。

冒名CDC的通知，事實上為一可利用CVE-2017-11882漏洞的惡意文件

在 2020 年 3月，有大量以covid、corona相關的域名被註冊，這些域名被用於販賣新冠病毒保健品與檢測試劑，這些販售網站可能都是臨時設立，其販售物多半是不合法的贗品。其他無附件檔的惡意郵件多半都夾帶了一個以上的超連結用於釣魚，或是以超連結的方式，誘騙收件者下載遠端的惡意程式並執行。

偽裝的附檔以超連結的方式，誘騙收件者下載遠端的惡意程式並執行

為避免新冠肺炎群聚感染導致企業單位所可能出現的人力損失，遠距上班是普遍採取的應對措施。由於作業方式改變，彼此見不到面、資訊傳遞的塞車、中間人的竊聽，就可能出現冒名的號令 (假冒老闆要求通訊錄、匯款、合約、訂單…)；攻擊者也利用此波疫情，搭配社交工程攻擊的手法，進行財務相關的詐騙或入侵攻擊，比方：Emotet銀行木馬…等。新冠肺炎對於全球來說，可說是如黑天鵝般，大家未能預期它的出現，也不相信他的感染範圍可與1918年西班牙流感匹敵，但新冠肺炎的嚴重性，從大家的懷疑慢慢地變成了現實。資訊安全呢？我們可以看見資訊安全所帶來的可能性衝擊，它就如同灰犀牛般，若我們忽視，則可能隨時遭到猝不及防的攻勢或損失！

>> ASRC 2020 年第一季電子郵件安全趨勢 檔案下載

多個立委辦公室電子郵件信箱在總統就職日當晚，都收到一封偽冒總統府的信件，要求前往連結網頁填寫聯絡表單，但實際上這是一封騙取資料的釣魚郵件。根據刑事局的調查分析，釣魚郵件是由外部郵件主機寄發，將寄件者偽裝為總統府寄發的郵件，內容包含的惡意連結則是連到烏克蘭的雲端服務公司。若不慎點選連結，可能會被植入木馬程式、竊取資料！

偽冒總統府寄發的郵件

雖然上述案例是針對立委辦公室，一般民眾不會收到來自總統府的信件，但其實駭客一直運用相同的手法，透過高度偽裝的釣魚郵件，搭配社交工程對各種產業、各式企業發動攻擊。這類釣魚郵件大多偽冒精良且手法高招讓人難以肉眼分辨，巧妙運用與收件者切身關聯或有興趣的議題，引誘收件者執行指示動作，如點選惡意連結或惡意附件，再進一步竊取帳密或安裝木馬程式，做為下一次攻擊的可用工具。

假如，將這些偽冒精良的郵件情境換成假冒董事長寄發的信，或來自政府機關的振興券消息，您的使用者都能夠辨別嗎？

企業防禦這類郵件的不二法門，仍是設法提供使用者相較安全的郵件使用環境，避免他們接觸到這類郵件。例如運用中華數位科技 SPAM SQR進行惡意威脅郵件攔截。SPAM SQR 內建惡意檔案分析、威脅感知、智能詐騙等多種引擎與惡意網址資料庫，可整合防毒與動態沙箱等機制，以多層式過濾方式，針對內寄郵件內容及附件內容進行掃描，更全面防禦釣魚等惡意郵件。
另外，避免企業成為被駭客偽造冒名的工具，可運用 SPAM SQR 防偽認證模組，防止認證通過的帳號，利用他人名義發信，降低偽造企業人員發送黑函、釣魚、詐騙郵件的風險。

然而，使用者的安全意識仍舊是資安防護最重要的一道防線。因此，除了提供安全的郵件使用環境，輔以教育訓練與社交工程演練，加強企業防線。透過定期舉辦社交工程講習與社交工程演練，來提升使用者資安意識、分析演練成效，來找出企業中需要強化的環節，才能有效降低企業的安全風險！

更多防禦方式，請參考中華數位科技【釣魚郵件解決方案】

近日傳出某家銀行的海外分行員工，在居家辦公期間接到駭客假冒客戶的詐騙郵件，依指示轉帳被詐騙數十萬美元的事件。據悉，駭客假冒變造的電子郵件地址，與正確的郵件僅有一個字母之差，順利矇騙了承辦人員；其次行員在匯款前，並未透過第二管道與客戶確認，因而造成鉅額財務損失。

要防止偽冒變造的郵件，除了承辦人員需有良好的教育訓練和並多加留意之外，企業也應妥善運用有效的郵件防禦機制，在第一時間將偽冒的郵件阻擋在外，或為疑似偽冒的郵件加以標記。中華數位科技 SPAM SQR 與ADM進階防禦機制，可針對寄信來源潛藏偽造特徵的郵件、BEC 詐騙郵件、冒名偽造網域社交郵件及各式詐騙來源郵件進行檢測，並加以攔截。當上述郵件不慎被重送放行到使用者端時，系統會自動在此類郵件主旨加以標註警示，提醒使用者提高警覺，以降低被詐騙的風險。另外，Mail SQR Expert 的特定郵件外寄自動加密功能，可將內容含有匯款帳號，匯款金額關鍵字的外寄郵件，自動轉為 PDF 並加密，收件人必須透過第二管道取得原寄件人的密碼才能開啟郵件，避免企業的匯款資訊遭駭客攔截偽冒。

若不幸被騙，應立即採取行動向警方報案、聯繫匯款銀行申請退匯，越早察覺並處理，追回款項的機會就越高。此外，不論款項是否追回，也應尋求專業的鑑識夥伴。中華數位科技BEC鑑識服務團隊，協助清查鑑識受害電腦與關聯網路，改善資安問題並避免再度受駭。

BEC 詐騙是經過縝密計畫的針對型攻擊，同時混合了多種入侵與欺騙的手法。駭客在事前就開始鎖定詐騙目標，並且長期潛伏監控，以便在匯款的關鍵時刻介入偽冒。一旦被盯上後就有可能重複發生，背後的資安問題若未被正確地找到並解決，不論企業躲過幾次損失，未來還是有可能再次發生！

更多BEC 詐騙各階段補救與防禦重點，請參考 中華數位 BEC 詐騙解決方案

近期不少企業詢問關於附件檔夾帶 .ISO、.IMG 等映像檔的攻擊行為。事實上，ASRC 研究中心在「2019 年第三季電子郵件安全趨勢報告」中，便已揭露在 2019 年第三季觀察到不少駭客利用 UDF 映像檔附件做為攻擊工具的案例：UDF 映像檔原是用於光碟備份、燒錄前暫存、準備於大量複製光碟之用，其副檔名多為 .iso、.img… 等。由於這類映像檔有其特定用途，部分的防毒牆、防火牆、終端防毒軟體會忽略對這類格式檔案的大小限制或其內容的檢查，因此攻擊者就利用此缺口，將病毒嵌在標準合法的 UDF 映像檔格式內，以躲過各種檢查關卡。再次提醒管理者要意識到映像檔也可被運用於攻擊，並作為資安策略的考量。


這類型的攻擊主旨幾乎都與商業的交易行為有關，舉凡提及訂單、發票、詢價報價、交易通知，內容也十分在地化，亞洲區發現的樣本除了英文外，也可見到韓文、簡繁體中文。攻擊在 2019 年第四季達到高峰，2020 年第一季整體數量降至前一季的1/3，並且，除了 .ISO、.IMG 等常見的映像檔格式被利用之外，我們也觀察到有少量的.DAA 格式映像檔在外散播。


ASRC 與中華數位科技至今仍持續監控這類型的攻擊。事實上 .ISO、.IMG 夾帶惡意程式不是新聞，長期以來都是有的，可以把它想成是一種壓縮檔，類似 zip 中藏了惡意程式這樣的寄送方式。因此，以 .ISO 檔來說，有裝Winrar 的 Windows 會將他的圖示標為 Winrar 可支援的壓縮檔 (Winrar 預設關聯 .ISO 檔)，對於收到這種 .ISO 檔的收件者來說，可能會自然的將它打開，並執行惡意程式。

ASRC 再度提醒企業小心留意，防禦映像檔攻擊可以這麼做：

1. 1. 取消隱藏副檔名，對映像檔附件多加留意。

1. 1. 加強人員安全意識，面對來路不明的郵件抱持高度懷疑的態度。

1. 運用合適的郵件防禦設備，提供人員較安全的郵件使用環境。
   
   目前中華數位 SPAM SQR 已可防禦這類映像檔攻擊