【大紀元2018年07月28日訊】(大紀元記者張婷綜合報導)美國知名網絡偵探克雷布斯(Brian Krebs)週五(7月27日)對外發出及時警告說,電子郵件不是網絡釣魚攻擊的唯一載體。美國幾個州和地方政府機構已有報告說,通過蝸牛郵件(傳統郵件)的方式收到一些來自中國的可疑信件,裡面包括裝有惡意軟件的光盤(CD)。
克雷布斯表示,這種把戲雖然原始且過於簡單,但駭客卻充分利用了收件者的好奇心,引誘其將CD插入電腦中。
根據「多州信息共享和分析中心」 (MS-ISAC)與州和地方政府機構共享的非公開警報,這些可疑信封上印有中國郵政標記,裡面包括一封令人困惑的打字信件,內容偶爾會出現中文字符。這些可疑信函已經出現在美國的幾個州和地方政府辦公室的郵箱中。
美國商業雜誌《福布斯》說,信的內容雜亂無章,讓人很難準確說出主題是什麼。有大篇幅說明煙花和遊行的內容,還提及了電影業,但整封信沒有一個連貫的主題。
報導說,這可能就是發信人想要的。他們知道,讓一個人感到困惑有助於增加其好奇心。好奇心可以讓一個人將隨便一個CD插入電腦中,而絲毫不會去思考是誰發的CD或者發CD的動機是什麼。
這也許超乎你的想像,但真的有人會做那樣的事情。2016年進行的一項研究發現,50%的人會將他們在公共場所撿到的USB插入電腦中。
MS-ISAC表示,對這些CD的初步分析結果表明,裡面包含普通話版本的Microsoft Word(.doc)文件,其中一些文件中含有惡意的VBScript。到目前為止,多個州的檔案館、州歷史學會和州文化局都收到了此類可疑信件。目前尚不清楚這些機構的工作人員中是否有人被誘騙將CD插入了政府電腦中。
乍一看,駭客將這些地方作為目標看似比較奇怪。但黑客很有可能是在尋找一個「後門」(back door),希望在感染某個地方政府的電腦時不會被很快檢測到,使其有時間對更大的目標進行「偵查」。但這也可能是一種不成熟的勒索軟件攻擊。
一些讀者也可能想到了比上述方式更加「聰明」的釣魚方式,比如將USB放到信封裡替代CD,或者附上一封更加個人化的信函,不要讓人看出來,信函來自一個不精通英語的人之手。
不管怎樣,諸如此類的攻擊提醒人們,網絡犯罪可以採取多種形式。克雷布斯對在線安全提出的三個基本規則中的第一個就是,如果不是你在尋找的東西,就不要將其插入電腦中或將其打開。
美國政府近年來多次指出中俄是美國在網絡安全方面的頭號威脅。美媒今年4月曾披露,美國軍事網絡戰士已準備好在未來衝突中,通過網絡入侵來關閉中俄的關鍵基礎設施。此舉旨在對中俄加以震懾。
報導說,美國已經發現中共和俄羅斯對美國的網絡進行網絡戰場偵查,企圖控制美國的關鍵基礎設施,包括電網、交通、金融及其它關鍵系統。美國國家安全局局長及網絡司令部指揮官中曾根(Paul M. Nakasone)指出了美國進行反制的必要性,他說,一些對手在網絡偵查、間諜、施加影響甚至進行網絡戰攻擊方面仍然不受束縛。
「目前網絡攻擊的水平和速度是不可容忍的。」中曾根說,「通過在該領域的持續活動,我們的對手看到了獲得戰略優勢的機會。我們必須有目的性地去挫敗他們的意圖,增加他們的代價,降低他們成功的可能性。」#
責任編輯:林妍
