国内中小电商遭新型网钓攻击锁定，佯称商品瑕疵，内容本土化且量身客制，客服员工开启附件就被窃取帐密

今年以来，国内出现多起锁定客服人员的钓鱼邮件，并具有在地化且自制程度很高的内容，以引诱不知情的企业员工开启附件，目的就是要让木马程式侧录受害电脑的账号密码，或是入侵电脑。而近期这样的事件之所以受到注目，是有人在社群网站分享接获这类客诉钓鱼邮件的经验。

值得关注的是，从网友们公布的钓鱼信内容可以看出，网络攻击者假冒消费者以Gmail个人信箱来信，邮件内容都是繁体中文，没有简体与乱码，相当符合本地用户信件撰写方式；同时，信中内容提及收件者所属公司的名称与产品，谎称之前已买过该组产品，因发现产品有瑕疵，要业者尽快回复处理。显然这样的诈骗内容，已经过量身打造而让人很难起疑心。

而出现这样的钓鱼邮件案例，不仅让外界更清楚网络攻击者的社交工程手法，也突显了本土化、高度量身打造的钓鱼邮件，已经更为普遍，此次锁定客服人员的攻击就是一例。

国内中小电商频接获假客诉信，有首席运营官分享员工遇害经验

以近期案例而言，在9月6日，有网友表示，公司的同事收到一封假借消费者名义的客诉信，信中指责该公司保养品出货后就不顾售后服务，并提及电商的品牌与产品名称，对方还附上了压缩档与密码，说明附件内容是包裹与瑕疵照片。所幸她之前就看过其他电商老板在脸书分享遇害经过，因此，很早就将这样的情资转发到公司群组提醒，而并未上当。

而这个透过脸书转贴而曝光的事件，其实是发生在今年5月。有一家电商首席运营官分享了遭遇网络攻击的经验，他们就是因为开启了假冒客诉信的钓鱼邮件附档而受害，幸好这家公司即时因应，而未受到重大影响，但也希望其他公司注意到这样的威胁。

对此，我们后来找到这家业者，该电商首席运营官表示，这样的假冒客诉钓鱼邮件，他们在9月9日依然收到。

之前5月遇害，是因为员工开启这类客诉钓鱼邮件的附件压缩档──他依照对方的指示输入解压缩密码，点击当中看似文件档的档案，但发现什么都没有后，又看到电脑出现Runtime Broker已开启此档案的画面，因此，他意识到可能中毒，于是，立即向公司通报。

该首席运营官表示，虽然他不是资安人员，但推断公司电脑密码可能已经被窃取，幸好该员工在家办公没连内网，因此，他们立即将中毒电脑与公司有关的密码全部变更。

整体而言，他们采取的因应行动，包括：用另一台干净的电脑更新电商平台的后台密码，修改所有共用密码，将该员工移除Line群与社群平台，再将中毒电脑系统重灌。

幸好他们即时采取行动，因为后续状况证明了公司电脑的密码可能真的遭窃。当晚，他们就收到尝试登入失败通知，包括Google账号与网络开店平台，而根据系统记录的异常登入IP地址，则显示位于台中（但不确定是否为跳板），至于该公司的脸书粉丝专页及官方网站后台，由于都已设定双重认证（2FA），因此没有系统被骇入。

从整起事件来看，一些细节未能完整还原，像是当时是否调查解压缩后附档的真实档案格式等，毕竟受害已有一阵子，但此事曝光也让外界了解到遇害经历。

国内电商接获假客诉信，一旦开启压缩档内附件就中木马

今年出现锁定国内中小电商业者的假客诉信，信中暗藏了包含恶意的邮件附档，并以压缩档来回避侦测机制，近期有国内电商业者分享遇害经历。

这家电商首席运营官表示，他们在5月曾不慎中招，因客服人员开启了这样的邮件附档，幸好察觉有异后，已及时变更受害电脑与公司系统相关的所有密码，但当晚，他们的Google账号与开店平台后台账号，就被他人尝试登入，显然密码已被窃取。

这类假客诉信内容有哪些特征？寄件者是来自个人Gmail电子邮件信箱，信中标题以商品瑕疵为由，内容提及电商名称与产品名称，甚至表示在台北的百货公司曾经买过公司商品。整体上，此类信件的伪造程度很高，如同真实消费者的客诉信。

在这次资安事件的应变上，该公司也抱持积极态度，通报及时与迅速变更公司密码之余，首席运营官也强调，不要去责备员工，因为他让全公司上了一课，同时希望将自家公司经历分享给更多企业。

针对客服人员的假客诉恶意邮件，内容就像一般消费者以商品瑕疵为由来信，内容也相当逼真，不仅提及电商名称与产品名称，甚至也了解该公司曾在百货公司设柜位，但对方的目的，就是希望使用者点击包含恶意的邮件附件。

  

在客服人员开启该钓鱼邮件的附档后，幸好已及时通报公司并变更所有密码，当晚，该电商使用的开店平台系统，就出现了登入失败通知，显然帐密可能已被窃取而被拿来滥用。此外，他们还发现Google账号发出阻止登入的通知，以及发送验证码，显然有人以这个外泄的账号密码尝试登入。

假客诉信攻击活动持续近半年仍未停歇，公司的老板与客服人员都要注意

对于这类社交工程手法的现况，国内邮件安全相关业者也有相关发现。

今年稍早，网擎资讯就曾发现类似案例。他们表示，在3月曾观察到一波锁定客服人员的攻击活动，邮件内容与上述案例差不多，都是以商品瑕疵为由来信，将商品照片存成压缩档并加上密码。一旦点击压缩档内的Office档案，防毒引擎可能跳出警告，用户才惊觉异常，但若是病毒码未更新，就可能被植入木马病毒。

从上述这些状况来看，这类假冒客诉的攻击活动，在2021年至少已持续半年，至今仍不断。因此，相关电商业者与企业客服仍必须多加留意。此外，过往国外不时传出假求职信的攻击，同样锁定员工职务上的工作需求，由于寄件者一定是陌生的人，但负责征才的公司人员就算有疑虑，也还是要打开相关档案来检视对方的履历相关资讯，对于缺乏资安意识的企业员工，或是资安防护与管理不足的企业，可说是防不胜防。

诈骗信很像真的客诉信，对方可能利用繁体中文范本修改

另一关注焦点是，钓鱼信的逼真度高，不易设防。

或许有些人想像的钓鱼邮件，可能是英文内容为主，或是简体中文且文句翻译不顺等，应该容易看出破绽。但其实，这几年来国内遭遇的钓鱼邮件，高度本土化且量身打造的电子邮件并非新鲜事。趋势科技资深技术顾问刘家麟表示，多年前骇客组织发动的APT攻击，通常一开始入侵使用的钓鱼邮件，就是制作逼真的邮件内容，让企业员工上当，且内容会是更加针对个别目标而设计。

而从9月发生的这个案例来看，我们可以发现，该邮件内容不只使用通顺的繁体中文叙述，连寄件者名称与附件档名都以繁体中文命名，仅有少数错别字，加上已有不少资安业者指出，近年Phishing-as-a-Service越来越盛行，因此，攻击者很可能是利用钓鱼信件范本来修改，而且，对方只要事先搜寻目标企业的品牌与产品名称，就可锁定更多不同攻击目标。

无论如何，面对这类威胁，对于企业而言，电脑上的端点防护相当必要，同时需做好时时更新，若要多层防护，除了邮件系统内建的基本防护，现在许多厂商也提供进阶邮件安全机制，就是针对邮件附件或邮件网址过滤；对于一般员工而言，没必要不应随意开启不明来源信件的连结或附档，仍是最好的自保方式，如需开启可疑邮件，建议透过虚拟机器或其他干净的备用主机开启较佳。