2013年5月27日 星期一

[資安新聞事件]偵破駭客偽冒健保局名義寄發惡意電子郵件盜取1萬多筆個資案


發稿時間 2013/5/27 上午 08:23:03
標題         偵破駭客偽冒健保局名義寄發惡意電子郵件盜取1萬多筆個資案
查獲時間 民國102年05月27日上午00時00分
查獲地點 嘉義市
查獲嫌犯 潘○○(男、61年次)
查獲贓證物 電腦伺服器、桌上型電腦、駭客書籍、中國工商銀行帳戶、huawei行動3G網卡、      
                     行動電話、液晶電視螢幕、螢幕切換器等證物
查獲單位 臺灣嘉義地方法院檢察署、本局偵九隊二組、研發室科技研析組、嘉義市警察
                  局刑警大隊、北鎮派出所


(一)本案緣自健保局於今(102)年4月26日發布新聞稿指稱有不法份子冒用健保局北區業務組(nhiofficegov@gmail.com)的名義寄發惡意郵件,該郵件如果點選「員工修正補充要點下載修正」,會連結至http://govservicec.zapto.org這個網站,但這只是個轉址網站,會再自動轉址至http://5062get5062.zapto.org,該網頁會自動下載「二代健保補充保險費扣繳辦法說明」RAR檔案,民眾若下載後會誤開啟木馬程式將遭受強制關機等問題,特呼籲民眾提高警覺。由於製作電腦病毒程式從事犯罪係屬刑法妨害電腦使用專章之公訴罪,本隊二組即與本局研發室科技研析組成立專案小組深入追查,並針對該電子郵件所隱含之惡意程式進行數位鑑識分析,經追查發現該惡意程式若下載至被害人電腦端後駭客就能遠端監看、盜取被害人電腦內所有個人資料。

(二)案經專案小組縝密蒐證循線追查出犯罪嫌疑人潘○○涉案情節重大,遂於本(102)年5月17日前往嫌犯住處實施搜索,當場查扣涉案電腦(內含所製作之惡意程式)、電腦伺服器、駭客書籍…等贓證物。此次犯罪手法發現主嫌本身從書籍、駭客論壇等方式自學相關駭客入侵知識,並利用2009年起由中國大陸駭客所撰寫開發「鬼網(Ghost)」惡意程式,透過自行編寫加入自己所架設中繼主機,在被害人點選惡意程式後,嫌犯可以遠端監看被害人電腦桌面並瀏覽、複製電腦中檔案內容,經多次測試結果,不僅可躲過掃毒軟體的偵測,更透過利用健保局名義成功誘騙不知情民眾下載檔案,進而再利用民眾電腦內通訊錄等資料完成「進階持續化滲透攻擊(Advanced Persistent Threat,簡稱APT)」,也就是把自己偽裝成被害人重新編輯劇本誘騙他人下載惡意程式,甚至發現嫌犯曾假冒國內知名貨運公司名義寄送夾帶惡意程式信件,偽裝寄送對帳單或送貨單等方式,讓不知情民眾電腦被裝載後門程式,如法炮製成功盜取了高達1萬多筆個資。

(三)透過勘驗嫌犯電腦,進一步瞭解犯罪者動機,發現其中不乏國內各企業公司會計的金融機密資料,懷疑嫌犯利用該機密資料用來盜取網路銀行帳戶或盜刷信用卡牟利,甚至可能另販賣給詐騙集團做犯罪之用,目前刻正擴大追查幕後是否有其他共犯。

(四)本次所發現嫌犯利用人性弱點,並以社交工程手法散布內含木馬程式的附件檔以及相關連結,其連結網頁轉址到浮動IP以避開相關追查,並針對特定中小企業老闆、會計部門等發送信件,不排除有意圖竊取特定中小企業內部資料或是進行詐騙匯款之可能。

(五)警方在此呼籲國內各公司業者應加強資安防護,以避免遭駭客攻擊造成巨大損失,同時也希望網路使用者應有正確的使用觀念,切勿擅自利用網路上學習駭客手法或使用惡意程式進行犯罪,凡無故入侵他人電腦、破解密碼、登入帳號、變更電磁紀錄、製作電腦病毒程式等皆會觸犯相關刑法妨害電腦使用罪章,千萬不要以身試法,勿因一時輕忽而造成終生遺憾得不償失。

(六)由於本次嫌犯所製作之惡意程式可順利通過掃毒軟體偵測,仍有多數民眾或企業在感染後無法自我檢測甚至移除程式,本局已將相關病毒程式送交防毒軟體公司製作成檢測與解毒工具,提供連結網站提供下載,並提供4點資安概念,以防範未來類似事件侵害個人或企業電腦網路:
1.選取合法並可過濾郵件中有害連結的資訊安全防護軟體。
2.定期更新資訊安全防護軟體。
3.點選來路不明郵件中的附加檔案或是連結前需慎重,如果不確定此封郵件真偽,建議致電該單位或至官方網站查詢。
4.特別是公司行號經手特定敏感資訊的人員如財務、人事等,更需對此類來路不明的信件中附件檔應抱持戒慎的心態。
檢測工具下載點:http://www.dragonsoft.com.tw/20130521.html 
解毒工具下載點:http://esupport.trendmicro.com/solution/zh-tw/1097458.aspx 

解釋名詞:
進階持續化滲透攻擊(Advanced Persistent Threat,簡稱APT)
駭客針對特定企業,長期間進行有計劃性、組織性竊取情資行為,甚至利用假冒信件針對被鎖定對象寄送幾可亂真的社交工程惡意郵件,進行長期潛伏使用現成的惡意程式,定期傳送有潛在價值文件進行企業內資訊蒐集或其他犯罪使用。

資料來源(刑事局):https://youth.cib.gov.tw/News/Detail/27986


=====網路新聞===========
http://www.ithome.com.tw/itadm/article.php?c=80585

http://www.appledaily.com.tw/realtimenews/article/local/20130526/181923/冒健保局名義寄mail 植木馬盜萬件個資

http://www.libertytimes.com.tw/2013/new/may/27/today-so8.htm?Slots=So

http://news.chinatimes.com/politics/130502/132013052600725.html

http://www.bcc.com.tw/news/newsview.asp?cde=2069679

http://udn.com/NEWS/BREAKINGNEWS/BREAKINGNEWS2/7923260.shtml

=====相關圖片===========


=====相關影音=========
http://www.ctitv.com.tw/news_video_c14v128446.html