中國臺灣刑事局近日宣布偵破黑客四月底冒用臺灣健保局北區業務組名義進行目標性攻擊竊取個人信息一案，在這起案件中，黑客使用了惡意木馬程序“TROJ_GHOST.ZZXX”與后門程序“BKDR_GHOST.ZZXX”進行攻擊，并導致一萬多筆中小企業個人信息外泄。

研究發現，黑客假冒健保局名義發動定制化的社交郵件工程攻擊。首先，黑客通過發送大量署名健保局北區業務組的郵件，其中內含“員工修正補充要點下載修正”的鏈接，用戶一旦點擊此鏈接將被轉至另一個網址并自動下載一個名為“二代健保補充保險費扣繳辦法說明”的RAR壓縮文件。

【黑客針對特定中小企業發動定制化社交郵件工程攻擊】

受害者一旦點擊并下載文件后，將會看到一個看似為Doc文件（實際上是執行文件的附件）；下載執行后，電腦將被植入木馬程序與后門程序，并會強制重啟。隨后，惡意程序會全面啟動，黑客可以遠端監看用戶的電腦桌面并瀏覽、復制電腦中文件內容，進而再利用用戶電腦內通訊錄等信息進行下一波針對性攻擊，如法炮制成功盜取了高達1萬多筆個人信息。

【解壓縮后發現其為一看似Doc文件的執行文件，一旦執行后將下載木馬程序與后門程序，造成用戶電腦門戶洞開】

據進一步分析發現，該后門程序屬于GHOST惡意程序家族，可能造成受攻擊中小企業的財務會計相關信息外泄，不排除相關信息可能被用于相關詐騙行為。

此波攻擊除了通過常用的社交工程手法之外，其針對收件人定制的郵件主題及稱謂更是讓收件者疏于查證而輕易點擊，所以防不勝防。并且郵件中內含的相關鏈接網頁轉址到浮動IP以避開相關信息安全軟件的追查，并以信息安全意識相對較低的特定中小企業主財會相關人員為攻擊目標發送，以提升攻擊的成功率。

面對社交郵件工程攻擊，安全專家建議中小企業主及民眾應注意以下事項：

選取合法并可過濾郵件中有害鏈接的信息安全防護軟件。

點選來路不明郵件中的附加檔案或是鏈接前需慎重，如果不確定此封郵件真偽，建議致電該單位或至官方網站查詢。

持有公司敏感信息的人員如財務、人事等，需對來路不明的信件中附件文件抱持戒慎的心態。