大家都知道別亂插來路不明的USB到電腦上,深怕一不小心攬毒,請來不請自來的惡意程式。如今駭客不靠單純運氣,而是要主動出擊,像是好萊塢電影中常見裝扮成進出商業大樓的送貨員或是面試者,伺機在機敏設備上插入入侵的硬體。
卡巴斯基調查,發現像電影情節一樣,靠送貨員入侵公司內網的事件不少。
圖/ shutterstock
防毒軟體公司卡巴斯基日前公布他們的調查結果DarkVishnya入侵事件,發現在2017-2018之間,有大量目標公司的機器上,被插入不明裝置連到公司內部網路。
報告中指出,駭客鎖定公司的總部辦公室,或者是區域辦公室的所在地。一旦人員潛入之後會用便宜的筆記型電腦或小筆電 、樹莓派,或者是Bash Bunny這類裝有入侵工具的USB攻擊平台。在公司內部網路中,這些侵入的實體硬體偽裝為不名的電腦,外接的Flash,或是裝成鍵盤。被植入的實體裝置有自己內建的數據機,或是用USB連接的GPRS、3G、LTE數據機,等待遠端的指揮中心的命令。
卡巴斯基的報告說,直接安裝實體入侵硬體裝置的案例,多在東歐一帶發現,至少有八間銀行受害。
卡巴斯基的Nikolay Pankov說:「即便是相當注重資安的公司來說,要植入實體的裝置並非不可能。送貨員、面試者或是客戶代表還是合作夥伴就能輕易進入辦公室裡,裝扮成上述角色是隨時能做到的。」
本文授權轉載自:科技新報
