7日,据警察厅称,在去年的4月至8月期间,有150名国内外交、安保专家收到了诱导他们登录钓鱼网站的恶意邮件。
经确认,实际登录钓鱼网站并被窃取个人信息的受害者共计9名,包括3名前正副部长、1名现任公务员、4名学界·专家以及1名记者。据调查,Kimsuky对前高级公务员等受害者的邮件收发明细进行了两到四个月的实时监控,并窃取了附件文件和地址簿等信息。
Kimsuky是被指与朝鲜存在关联的代表性黑客组织。据分析,该组织主要以国家基础设施、政府机关、脱北者、政客等为对象展开网络工作,目的是引发社会混乱和收集情报。据悉,在2014年,Kimsuky曾通过向韩国水力原子力员工发送钓鱼邮件的方法窃取韩水原的资料。
但警方表示,经确认,此次被窃取的情报中不含机密资料。Kimsuky通过黑客攻击掌控了国内36个、国外102个,共计138个服务器之后,将IP地址洗白然后发送钓鱼邮件。遭到黑客入侵的服务器分别被用于发送恶意邮件,搭建钓鱼网站和传送窃取的信息等,扰乱警方的追踪工作。
警方称,通过此次调查掌握了Kimsuky等朝鲜黑客组织的攻击手法。首先黑客谎称自己是教授或研究员等,以征求发行小册子或论文相关意见为由,发送邮件接近目标。如果受害者回信,再发送附有需要本人认证的大容量文件的邮件。如果受害者为了进行本人认证而登陆钓鱼网站,账号信息就会自动被黑客获取。窃取信息后,再发送邮件表示感谢,避免对方生疑。据警方有关人士表示:“受害者当中无人意识到自己信息被盗,并上报给警方或调查机构”,“在接到警方联系前,大部分人都不知道自己信息被盗。”
警方和国家情报院对5800多封钓鱼邮件进行分析,并在对攻击根源地IP地址和经由地的构建方式等进行确认之后,认定Kimsuky为犯罪主体。“服务机”(服务器)、“来日”(明天)、“的中的”(合适的)等朝鲜式词汇和语句的使用也是警方作出上述判断的决定性依据。警方在Kimsuky使用的国内外服务器中发现了2个虚拟资产钱包的地址,认为可能还存在敲诈金钱的可能,正在继续进行调查。据悉,这些钱包中有相当于100万韩元(约合人民币5457元)的交易明细。
警察厅表示:“预计针对安保领域人士的黑客攻击今后仍会持续”,“应该加强保安措施,例如定期更改密码、加强认证设置等。”