报告：骇客锁定UN人道援助组织下手 诱骗员工泄露个资

（法新社旧金山24日电） 资讯安全研究人员今天表示，骇客锁定联合国（UN）和人道援助组织员工，诱骗他们泄露密码。

资讯安全业者守望者（Lookout）公布的一份报告表示，今年年初以来，锁定与联合国相关救济组织的骇客活动一直相当活跃，骇客手法是引诱员工进入假网站，可能从而窃取他们的身分验证资讯。

守望者主要资安工程师李查兹（Jeremy Richards）告诉法新社，遭锁定团体包括联合国世界粮食计划署（World Food Program）、联合国儿童基金会（UNICEF）和红十字会与红新月会国际联合会（International Federation of the Red Cross and Red Crescent Societies）。

骇客使用所谓「网路钓鱼」策略，发送诈骗电子邮件，诱骗受害者上钩。

这些诈骗讯息乍看之下合法，但通常含有诱骗连结或档案，能引导受害者至恶意网站。

李查兹说：「我们发现许多网路钓鱼。」

「但非政府组织（NGO）遭受如此大规模的骇客攻击并不常见。」

根据守望者报告内容，骇客寄给潜在受害者的诱饵，包括以简讯或电子邮件发送填写问卷邀请或线上文件入口，附上看似为合法组织「登入页面」连结，但实际上这是骇客用来窃取受害者资讯。

骇客使用的软体经过特别设计，即使用户迅速删除密码，骇客依旧能窃取密码栏位的所有内容，且辨识用户何时从行动装置进行连线。

李查兹说：「如果目标未完成登入或不小心误植另一组密码，这些资讯仍会送回给骇客。」

一旦骇客取得一组电子邮件密码，就可以获得受害者其他线上帐户的重设密码连结，或者透过合法邮件交流来欺骗其他连络人。

目前仍不清楚攻击行动的主使者或成功得手的规模。

根据李查兹的说法，对联合国团体发动网路钓鱼所使用的网站显然来自马来西亚一个「防弹主机服务」（bulletproof hosting service），这能让匿名电脑服务不受调查人员或政府的追查。（译者：叶俐纬/核稿：卢映孜）