2019年10月25日 下午12:51

資訊安全研究人員24日表示,駭客鎖定聯合國(UN)和人道援助組織員工,使用計謀誘騙他們洩露密碼。

檢視相片

資訊安全業者守望者(Lookout)公布的一份報告揭露,自今年年初以來,鎖定與聯合國相關救濟組織攻擊的駭客活動一直相當活躍。(示意圖/圖取自Pixabay圖庫)

更多

資訊安全業者守望者(Lookout)公布的一份報告表示,今年年初以來,鎖定與聯合國相關救濟組織的駭客活動一直相當活躍,駭客手法是引誘員工進入假網站,可能從而竊取他們的身分驗證資訊。

守望者主要資安工程師李查茲(Jeremy Richards)告訴法新社,遭鎖定團體包括聯合國世界糧食計劃署(World Food Program)、聯合國兒童基金會(UNICEF)和紅十字會與紅新月會國際聯合會(International Federation of the Red Cross and Red Crescent Societies)。

駭客使用被稱作「網路釣魚」策略,發送詐騙電子郵件,誘騙受害者上鉤。這些詐騙訊息乍看之下合法,但通常含有誘騙連結或檔案,能引導受害者至惡意網站。

李查茲說:「我們發現許多網路釣魚。但非政府組織(NGO)遭受如此大規模的駭客攻擊並不常見。」

根據守望者報告內容,駭客寄給潛在受害者的誘餌,包括以簡訊或電子郵件發送填寫問卷邀請或線上文件入口,附上看似為合法組織「登入頁面」連結,但實際上這是駭客用來竊取受害者資訊。

駭客使用的軟體經過特別設計,即使用戶迅速刪除密碼,駭客依舊能竊取密碼欄位的所有內容,且識別人們何時從行動裝置進行連線。

李查茲說:「如果目標未完成登入或誤植另一組非計劃密碼,這些資訊仍會送回給駭客。」

檢視相片

駭客透過簡訊或電子郵件等,發送與正常的登入網頁(上)非常相似,但實際上是用來詐取帳號密碼的網頁(下)給受害者。(取自守望者官網)

更多

一旦駭客取得一組電子郵件密碼,就可以獲得受害者其他線上帳戶的重設密碼連結,或者透過合法郵件交流來欺騙其他連絡人。

目前仍不清楚攻擊行動的主使者或這些攻擊取得多大的成功。

根據李查茲的說法,對聯合國團體發動網路釣魚使用的網站顯然來自馬來西亞一個「防彈主機服務」(bulletproof hosting service),這能讓匿名電腦服務不受調查人員或政府的追查。

聯絡作者:動態骷髏 文章來源