在台灣,繳稅就像國稅局每年固定來”收租”,你可以忘記親友的生日,但國稅局絕對不會忘記你。不管你想不想參與,最後都得乖乖繳稅。
讓人心驚膽跳的是國稅局不只會收錢,還會查帳!這就像是在學校考試的時候以為老師收走考卷後事情就結束了,結果過幾天又被叫去辦公室:「試卷這裡好像有點問題,來解釋一下吧?」
每年5月是繳稅的旺季,一般上班族,因為公司早就幫你扣好稅,國稅局會直接幫你算好,報稅系統打開一看,扶養親屬資料填一填,按下送出就結束,甚至還有機會退稅。如果是做生意、接案、投資股票、房地產的,那報稅就像是數學大考,各種收支、扣除額要算清楚,算錯了,可能會收到國稅的通知補稅。
如果你的收入太高、扣除額太多,或是常常報稅異常,國稅局的雷達可能就會鎖定你,然後突擊小考就來了,”查稅”。
國稅局的查稅機制其實很厲害,比想像中還要「科技執法」,不像以前是人力查帳,現在全部電腦比對,系統自動掃描你的財務數據。
最近就有駭客藉由國稅局查帳的方式,寄送釣魚郵件,散佈惡意程式的事件發生。
假借國稅局名義發出釣魚郵件
FortiGuard實驗室發現有駭客會假借國稅局的名義發送偽裝成查稅的釣魚郵件給被攻擊者並要求被攻擊者轉交給公司財務負責人,附件包含一個國稅局查稅文案的PDF檔案。實際上這裡有一個很大的破綻,就是這封email是由yahoo的信箱寄出的,稍微有一些資安意識的人應該就會有警惕,國稅局寄出的查稅通知應該不會由yahoo信箱寄出,這裡稍加留意就可以察覺異常,避免被釣魚信件攻擊。
被引導下載惡意程式
PDF檔案裡面有一個可以點擊下載名單的連結,點擊後會下載一個ZIP的壓縮檔,壓縮當包含一些查稅文件及一些惡意程式檔案。
運行惡意程式安裝Winos4.0
開啟壓縮檔後,會依序執行 20250109.exe,ApowerREC.exe和lastbld2Base.dll檔案,開始安裝整個Winos4.0惡意程式,對系統造成危害。
Winos4.0對系統危害
在這次攻擊中惡意程式創建了八個執行緒來執行不同的任務:MainThread、CloseWindow、Screenshot、Keylog、Clipboard、USB、ReadReg 和 Anti-AV。,
1、MainThread:建立其他 7 個執行緒,關閉螢幕保護程式,確保惡意軟體 持續運行。
2、CloseWindow:偵測防毒軟體,自動點擊「允許」按鈕來繞過防毒軟體跳出的警告訊息。
3、Screenshot:監控特定關鍵字的應用程式(如銀行、聊天軟體),截取螢幕畫面,竊取重要資訊。
4、Keylog:記錄被攻擊者鍵盤輸入資料,藉機竊取重要資訊。
5、Clipboard:偵測改變剪貼簿內容,例如竊取密碼或更換比特幣錢包地址。
6、USB:每3秒掃描USB裝置,記錄新增或移除的設備。
7、ReadReg:每5秒讀取從註冊表讀取shellcode內容。
8、Anti-AV:關閉防毒軟體的TCP連線,當偵測到TCP連線是由防毒軟體所開啟,則將該TCP連線關閉。
流程圖:
防範釣魚信件造成的資安危害:
● 此次偽造國稅局查稅的釣魚信件攻擊手有些許破綻,多留意一下或許就能發現異常。第一點,國稅局如果要查稅,應該會是用國稅局的郵件或是政府機關的郵件發出信件通知。當發現是由私人或是免費信箱(例如:yahoo、gmail..等)信箱發出,就要特別留意或是再確認郵件的真實性。第二點,信件內容”請傳給貴司財務負責人領取資料”,由內容可知寄件者不知財務負責人的窗口,查稅這等重要的事連對應的窗口都無法聯繫到,還需要透過中間人轉傳信件,肯定有問題。
● 收到需要轉傳的陌生信件,盡量做到保持冷靜,不點擊、不開啟、不回覆。
● 定期員工資安訓練,舉辦模擬釣魚測試或請外部資安專家安排訓練課程,讓員工學習辨識釣魚攻擊。
想了解更多產品資訊,請連至官網https://www.neithnet.com/zh/,或直接與NEITHNET資安專家聯繫:info@neithnet.com
參考資料:
