資安公司 CrowdStrike 的 Falcon EDR 系統於2024年7月19日發生更新錯誤,導致全球各地微軟 Windows 電腦大規模當機,對政府機關、航空公司、銀行及醫療等產業造成嚴重影響。雖然此次事件並非由駭客發起,但 CrowdStrike及美國網絡安全機構 CISA 都發出警告,駭客正在利用此事件來偽冒成 CrowdStrike 發送惡意軟體及釣魚郵件等攻擊,目前已發現 50 個新註冊的偽冒網域。Cellopoint 近期攔截到一封偽冒CrowdStrike 修復更新通知信的釣魚郵件,作為您值得信賴的郵件安全合作夥伴,我們在此提供該類型攻擊的手法及防範建議,助您共同防範此類攻擊。
案例解析: CrowdStrike 修復更新釣魚信
上圖為近期被 Cellopoint 截獲的一封偽冒 CrowdStrike 修復更新通知信的釣魚郵件,以下為該攻擊手法分析:
偽冒顯示名稱和網域:駭客會註冊和 CrowdStrike 看似一樣的網域或顯示名稱,以假亂真,使受害者難以辨別。
欺騙性內容和語氣:郵件內容佯裝是 CrowdStrike 的官方公告,為該事件道歉,並要求收件人點擊連結以修復問題。
假的釣魚登入頁面:郵件中的連結看似來自 CrowdStrike 官方,但實際上會將收件人導向駭客精心設計的釣魚登入網頁,誘使收件人輸入帳號和密碼。一旦密碼洩漏,駭客將獲得受害人的 CrowdStrike 登入資訊,可能導致資料外洩或系統被植入惡意程式。
資安防範建議
除了以上案例中列出的攻擊手法,另有駭客偽冒 CrowdStrike,通過郵件附件佯稱提供修復資訊,一旦收件人下載了該附件,將可能觸發惡意軟體,如木馬、勒索軟體或間諜軟體,導致電腦入侵或數據竊取。因此,建議收件人在下載或點擊任何更新修復程式之前,務必與 CrowdStrike 官方人員確認,並提高警覺,勿輕信宣稱來自 CrowdStrike 官方的郵件。
資安防範不僅需收件人第一線警惕,也須有效的安全解決方案一同把關,Cellopoint 針對寄內郵件安全提供三種解決方案:
Cellopoint Defender for M365:專為 M365 環境設計,透過強大的情資、AI 技術,提供後掃描防護,能有效攔截既有郵件安全攔截不到的詐騙、釣魚及惡意軟體等攻擊。
COP 雲端寄內郵件安全:SaaS 郵件安全,支援 Microsoft Exchange、M365、Google Workspace 和 Zimbra 等郵件服務,能偵測並阻擋釣魚郵件、勒索軟體及 BEC 詐騙,如此次案例中,即偵測到假冒 CrowdStrike 網域及顯示名稱。
SEG 郵件安全閘道器:地端郵件安全,支援 Microsoft Exchange、M365、Google Workspace 和 Zimbra 等郵件服務,能偵測並阻擋 BEC 詐騙、勒索軟體及釣魚郵件,如此次案例中,寄件來源被偵測為陌生且包含惡意連結。
這些解決方案都能有效防範偽冒知名品牌的詐騙郵件、釣魚郵件,另外也能通過情資和沙箱技術,偵測並隔離帶有惡意程式的附件,提供詳細鑑識報告,幫助了解攻擊行為,保障您的郵件安全。
客戶支持與聯繫
我們致力於為您提供最先進的郵件安全解決方案,以應對不斷變化的威脅。如果您有任何疑問或是希望購買 Cellopoint 服務,歡迎來信:
sales.tw@cellopoint.com或致電 (02)8969-2558。