何謂網路釣魚攻擊?

網路釣魚是一種網路犯罪,攻擊者偽裝成可信賴的組織,誘騙人們交出使用者名稱、密碼和信用卡號碼等敏感資訊。這些詐騙通常透過電子郵件發生,但也可能透過電話、網站和社交媒體發生。

主要目的是身份盜用,讓攻擊者可以存取個人帳戶或公司系統,造成財務損失或聲譽受損。網路釣魚利用人類的信任和緊迫感。儘管網路安全已取得進展,但它仍然是一種威脅,因此保持警覺和謹慎是至關重要的。

 

網路釣魚的演變

網路釣魚攻擊是社會工程的一種形式,自 1990 年代中期出現以來已大幅演進,其特點是目標的複雜性增加。攻擊者會進行仔細的研究,針對受害者製作個人化的訊息,這種方法稱為魚叉式網路釣魚。

最初,網路釣魚騙局相對不複雜,通常涉及大量散佈的電子郵件,目的是引誘毫無戒心的使用者提供敏感資訊,例如密碼或信用卡詳細資料。

隨著網際網路使用量的增加,網路釣魚者的策略也在增加,他們現在部署了更先進的技術,利用電子郵件偽造、語音釣魚 (vishing),甚至簡訊釣魚(smishing)。這些方法會欺騙受害者,讓他們以為是與合法且可信賴的來源互動。

這種改編展示了網路犯罪活動的動態性質,其動力來自技術的進步,以及利用數位通訊中人類弱點的不懈追求。

The Steps in a Phishing Attack | The image above describes the steps an attacker or bad actor will take to accomplish their specific phishing goals and objectives.
 

網路釣魚如何運作?

網路釣魚的作法是誘騙受害者提供敏感資訊,例如使用者名稱、密碼、信用卡號碼或其他個人詳細資料。攻擊者通常會使用看似合法的欺騙性電子郵件、訊息或網站。

以下是分步細節:

  1. 誘餌製作:攻擊者製造令人信服的訊息或網站,模仿可信賴的實體,例如銀行、社交媒體網站或線上服務。

  2. 送貨:網路釣魚誘餌會透過電子郵件、簡訊、社交媒體或其他通訊管道傳送給潛在受害者。

  3. 欺騙:訊息通常包含緊急或誘人的內容,促使收件者按一下連結、下載附件或提供個人資訊。

  4. 剝削:如果受害者上鉤,他們會被引導到一個欺詐網站或表格,在那裡輸入他們的敏感資訊。

  5. 資料採集:攻擊者會收集提交的資訊,並將其用於惡意目的,例如身份盜用、金融詐騙或進一步的網路攻擊。

網路釣魚攻擊因能夠避開偵測方法,已成為最普遍且最有效的網路犯罪方法之一。上當受騙會增加遺失敏感資料的風險,以及身份盜用、資料遺失或惡意軟體感染的可能性。

低成本網路釣魚工具包的出現使其更易於部署。這些工具包是一些工具的集合,例如網站開發軟體、編碼、濫發電子郵件軟體和內容,可以利用這些工具來收集資料,並製作有說服力的網站和電子郵件。

增加更複雜、更神秘的網路釣魚技術,讓新手威脅行為者也能繞過傳統的安全防禦。

Types of Phishing Attacks | The image lists the ever-growing phishing attacks available to cybercriminals today.

 

商業電子郵件入侵 (BEC) vs. 網路釣魚

商業電子郵件洩密 (BEC) 和網路釣魚 都是欺騙性的電子郵件攻擊,針對的對象不同,目標也各異。BEC 是有針對性的財務動機,而網路釣魚則會撒下更大的網來釣取個人資料。

BEC 著重於組織內的特定個人,例如主管或財務人員,以操控業務流程來獲取財務利益。攻擊者收集資訊以製造令人信服的訊息,這些訊息可能導致未經授權的交易或敏感資訊的洩露。

相較之下,網路釣魚攻擊的目的是接觸廣泛的受眾,以蒐集個人資訊,例如密碼或信用卡詳細資料。這些電子郵件的個人化程度較低,而且試圖同時騙取許多個人,使得網路釣魚更多是在收集資料,而非直接操縱企業營運。

 

網路釣魚攻擊的類型

雖然不是完整的彙編,但以下是攻擊者最常使用的網路釣魚技巧。瞭解這些技術可以幫助個人和組織更好地辨識和防禦網路釣魚攻擊。

網路釣魚

攻擊者發送看似來自可靠來源的欺詐電子郵件。它們要求收件人點擊連結、下載附件或提供敏感資訊。攻擊者使用各種策略,包括製造緊迫感或恐懼感,以操控收件者順從他們的要求。這些連結可能會將使用者重新導向合法的偽造網站,而附件則可能包含會感染收件者裝置的惡意軟體。

網路釣魚

網路釣魚 是一種有針對性的網路犯罪形式,攻擊者利用個人資訊為特定個人或組織製作令人信服的訊息。一般網路釣魚的目標是許多收件者,而魚叉式網路釣魚不同,它是高度個人化的。

攻擊者從社交媒體或公司網站等來源收集詳細資訊,使其訊息看起來合法且相關。這會增加受害者參與內容、揭露敏感資訊或點選惡意連結的機會,使得魚叉式網路釣魚比更廣泛的網路釣魚策略更有效。

個案研究:FreeMilk 會話劫持網路釣魚活動

捕鯨

網路釣魚是一種以知名公司主管為目標的釣魚方式。捕鯨的目的是透過電子郵件通訊取得高度機密的資訊。訊息通常會顯得很緊急,以說服接收者迅速採取行動。在這種情況下,受害者可能會事先不假思索地按一下惡意連結,使攻擊者得以竊取登入憑證和敏感資料或下載惡意軟體。

網路釣魚 (SMS Phishing)

網路釣魚的行為與其他網路釣魚攻擊相似,但它是以 SMS 訊息的形式出現。通常,訊息中會包含欺詐附件或連結,促使行動使用者點選。

網路釣魚 (Vishing)

網路釣魚也稱為「語音釣魚」,是指攻擊者透過電話以受害者為目標,從而取得資料存取權限。為了顯得合法,攻擊者可能會假裝從受害者的銀行或政府機構撥打電話。

克隆網路釣魚

克隆網路釣魚是一種複雜的方法,攻擊者會建立幾乎完全相同的合法電子郵件複本,並以惡意連結或附件取代。複製的電子郵件看似來自受信任的來源,讓受害者更有可能相信訊息並遵循指示。

藥劑

攻擊者通常透過 DNS 中毒,在使用者不知情的情況下,將合法網站流量重定向至詐騙網站,而非直接誘騙個人。許多網路安全措施都沒有注意到這一點。

HTTPS 網路釣魚

HTTPS 網路釣魚是一種攻擊,攻擊者利用 HTTPS (表示安全連線的通訊協定) 製造欺詐網站,使其看起來合法可信。透過使用 HTTPS 憑證保護惡意網站,攻擊者可欺騙受害者,讓他們相信網站是安全且真實的。

基於憑證的攻擊

基於憑證的攻擊 使用竊取或外洩的登入憑證 (使用者名稱和密碼) 未經授權存取系統、網路或帳戶。這些攻擊通常涉及以下策略:

  • 網路釣魚:欺騙性的電子郵件或訊息會誘騙使用者提供登入詳細資料。
  • 鍵盤記錄:惡意軟體會記錄按鍵動作,以便在輸入時擷取憑證。
  • 塞滿證書:利用人們經常在多個網站重複使用密碼的事實,使用從一個漏洞竊取的憑證清單存取其他系統。
  • 暴力攻擊:有系統地嘗試所有可能的使用者名稱和密碼組合,直到找到正確的組合為止。
  • 中間人攻擊:截取使用者與系統之間的通訊以擷取憑證。
How to Spot and Protect Against Phishing | Organizations can protect themselves against phishing by using these top 3 identifiers to quickly identify and spot a phishing email.
 

如何識別網路釣魚技巧

這些年來,網路罪犯已大幅演進。他們可以製作詐騙訊息和附件,幾乎可以說服任何人。訓練有素的個人遵循適當的安全協定,即使是複雜的網路釣魚企圖,通常也能偵測出來。即使是經驗最豐富的網路安全專業人員,也很難發現這些問題。潛在目標可以尋找常見的跡象來識別網路釣魚資訊。

A Standard Phishing Attack | The diagram shows the steps a phishing attacker goes through to collect personal information from victims.

網路釣魚的常見跡象

防範網路釣魚攻擊的最佳方法是了解並辨識釣魚電子郵件常見的洩密方式,這些方式看起來可能可疑,也可能不可疑。以下是一些贈品:

  • 詳述帳戶、銀行詳細資料、金融交易和貨件問題的訊息,在大多數人都在期待送貨的假期中非常普遍。
  • 語言看似不正確,訊息也缺乏流暢性,而這正是母語人士的典型表現。它的特色是拼寫錯誤、語法不佳和使用問題。
  • 訊息看起來像是來自可信賴的品牌,但卻包含不熟悉的元素,例如不太正確的顏色、格式或字型。
  • 這些訊息看起來很不專業,但卻以主管或其他有影響力人士的溝通方式呈現。
  • 發件人是美國聯邦政府機構,要求您透過電子郵件提供個人識別資訊 (PII),或跟隨一個非以 .gov 結尾的 URL 連結。
  • 寄件者會立即要求您提供社會安全碼或稅務辨識碼。
  • 寄件者的地址、姓名或電子郵件地址看起來很奇怪。
  • 訊息來自您不認識的人,要求您提供禮物卡、轉帳、銀行或信用卡資訊。
  • 訊息中包含要點選的連結或要下載的附件,但位址或檔案名稱似乎不尋常。
  • 意外的附件或檔案名稱不尋常或不熟悉,都是惡意的跡象。
Why Protecting and Responding to Phishing is Hard | Discover three main reasons why protection from and response to phishing attacks is very difficult.

 

如何防範網路釣魚攻擊

網路釣魚是一種多層面的威脅,需要全面的策略才能擊敗。克服網路釣魚的挑戰需要一個整合的端對端流程,從主動到被動。如果您擁有其中一項而沒有另一項,您就沒有準備好應對威脅。

網路釣魚安全性堆疊

認識到網路釣魚不只是電子郵件的問題是非常重要的。擁有能夠處理進階網路釣魚和入侵式網路釣魚攻擊的安全性堆疊是非常重要的。使用以 URL 資料庫和網路爬蟲為基礎的系統是行不通的。需要內嵌式機器學習等技術來分析傳送給終端使用者的頁面內容,以確保沒有網路釣魚風險,並防止病患零感染。

安全生命週期方法

降低網路釣魚的風險不只是要部署任何一種技術,而是要有一個完整的生命週期方法。這表示組織需要同時具備主動和被動的能力。無論您在安全方面部署或投資多少,您都必須計劃好讓某些東西通過。如果員工被網路釣魚,憑證被盜用,組織是否有能力偵測惡意存取,然後採取應對措施?

執行管理階層必須與組織的團隊合作,以確保技術、人員和流程到位,協助預防盡可能多的網路釣魚攻擊。

以下是一些額外的網路釣魚防禦策略:

  • 採用垃圾郵件過濾器和設定電子郵件驗證通訊協定,可以大幅降低網路釣魚電子郵件到達使用者收件匣的風險。
  • 定期以最新的修補程式更新軟體和系統,有助於彌補網路罪犯經常利用的安全漏洞。
  • 實作多重要素驗證可增加一層額外的安全性,因為除了密碼之外,還需要額外的驗證形式。
  • 教育使用者有關網路釣魚威脅的本質至關重要。定期的訓練課程和更新可以幫助人們辨識可疑的電子郵件、連結或網站。
  • 實作彈性的電子郵件過濾系統可以大幅減少網路釣魚電子郵件到達收件匣的數量。
  • 確保網路安全性,使用防火牆和最新的防毒軟體來阻擋潛在的網路釣魚攻擊是非常重要的。
  • 採用反網路釣魚工具和策略,例如瀏覽器擴充套件和網路安全軟體,可以提供即時保護,提醒使用者注意潛在的網路釣魚網站,並在損害發生之前攔截惡意內容。

利用全面的平台將風險降至最低

一個全面的安全性平台,如 Cortex XSIAM,專注於人員、流程和技術,可以將成功的網路釣魚攻擊減至最低。

在技術方面, 沙箱 等安全工具會分析未知的連結或檔案,並實作政策以防止惡意存取。其他程序,例如 URL 過濾,可封鎖 已知的惡意網站和未知網站,及早預防攻擊。存取威脅情報雲端可提供全球社群的綜合知識,在之前發生類似攻擊時提供保護。

以電子郵件閘道信譽為基礎的解決方案,可根據內嵌 URL 的已知惡意信譽,捕捉網路釣魚電子郵件並將其分類。不過,精心製作的網絡釣魚訊息,其 URL 來自受攻擊的合法網站,在傳送時不會有不良聲譽,因此會被這些工具漏掉。

最有效的系統可根據分析結果 (例如不尋常的流量模式) 識別可疑的電子郵件。然後,他們會重寫嵌入式 URL,並持續檢查網頁內的攻擊和下載。

這些監控工具會隔離可疑的電子郵件訊息,讓管理員可以研究正在進行的網路釣魚攻擊。如果偵測到許多網路釣魚電子郵件,管理員可以提醒員工,並降低目標性網路釣魚活動成功的機率。

 

網路釣魚攻擊常見問題集

如果您收到網路釣魚電子郵件,請勿點選任何連結或下載附件。向您的 IT 部門或電子郵件供應商報告該電子郵件,並將其刪除。如果您不小心參與了這些內容,請立即變更您的密碼,並監控您的帳戶是否有不尋常的活動。
成為網路釣魚攻擊的受害者可能導致個人或財務資料被盜用 (身分盜用)、未經授權存取您的帳戶、經濟損失、遭受進一步的網路攻擊,以及資料安全性遺失。快速回應和報告對於減輕損害至關重要。
若要報告網路釣魚企圖,您可以將可疑的電子郵件轉寄給電子郵件供應商的濫用部門 (例如 abuse@domain.com),若是與工作有關,則通知您的 IT 部門,或使用線上報告工具,例如 Anti-Phishing Working Group (APWG) 報告網路釣魚服務。此外,您可以透過聯邦貿易委員會 (FTC) 的網站向其報告。
是的,網路釣魚電子郵件可能包含附件或連結,當您開啟或點擊時,這些附件或連結會下載惡意軟體並安裝在您的電腦上。此類惡意軟體可以竊取敏感資訊、監視您的活動,甚至允許攻擊者遠端控制您的裝置。