3min. read

網路釣魚的速度和複雜度增加是疫情帶來的許多挑戰之一。這真的不足為奇。愈來愈多為了適應新常態而在家工作的人員已淪為攻擊者下手的目標。

網路釣魚的核心是以表面上看起來真實的內容引誘使用者點擊其實不應該點擊的內容。由於在家工作環境的壓力、焦慮和持續挑戰,我們發現網路釣魚逐漸以人員為對象來因應變化。

網路釣魚並不是新問題,而且這一定不是疫情爆發時才開始發生。這是 IT 團 隊多年來持續努力解決的挑戰。由於各種原因,各種規模的企業仍然遭受網路 釣魚攻擊。不過情況不需要如此。運用積極的程序、控制和技術都有助於降低 風險。

傳統的 Web 安全性為什麼對現代網路釣魚無效

我們發現網路釣魚近年來持續發展。從電子郵件安全性或 Web 安全性的角度來看,過去對網路釣魚稍微有效的企業安全控制不再有效。

其實,根據我們的研究指出,高達 90% 的網路釣魚套件現在包含導致傳統 Web 安全性失效的內建規避技術。網路釣魚套件可以為攻擊者有效 提供網路釣魚即服務,並且包含能夠規避偵測的現成功能。

傳統的 Web 安全性一直以來持續倚賴使用 URL 數據庫來識別和阻止對於包括釣魚網站在內的惡意網站進行的存取。惡意 URL 數據庫的工作方 式是廠商使用網路編目程式掃描網站,然後將網路釣魚網站新增到數據庫。網路釣魚套件操作者知道這一點,他們知道如何規避網路編目程 式,因此他們的惡意地址永遠不會出現在數據庫中。

現代網路釣魚攻擊通常也不涉及使用惡意軟體,因為惡意軟體會觸發一些常見部署的偵測技術。現在的網路釣魚都相當地隱蔽,並採用許多不 同的混淆技術來規避傳統的 Web 安全掃描。

為什麼很難揭發網路釣魚:多種形式的網路釣魚攻擊

網路釣魚攻擊究竟如何避開傳統 Web 篩選數據庫的安全檢查?以下是一些範例:

透過偽裝隱藏惡意內容

安全網路編目程式不會分析即時 Web 流量,而會分析已知的安全廠商使用的 IP 空間之中的網頁。由於攻擊者知道這一點,因此網路釣魚套件 能夠透過傳送良性內容或空白頁面來掩蓋惡意意圖,藉以因應安全廠商的掃描。這會欺騙 URL 數據庫將網路釣魚頁面歸類為良性並且允許這個 頁面通過安全檢查。當被鎖定的目標存取網路釣魚頁面時,這個頁面的真實內容就會暴露,然後即會對受害者下手。

多步驟攻擊和驗證碼挑戰

網路釣魚攻擊逐漸隱藏在良性步驟後面,因此對 URL 的初始安全掃描將允許這些攻擊通過。例如,可以將網路釣魚頁面放置在驗證碼挑戰後 面。這特別地狡猾,因為驗證碼挑戰專門用於防止自動機器人 (包括網路編目程式) 存取驗證碼挑戰之後的內容。網路編目程式掃描頁面時,只 會看到驗證碼挑戰,這本身完全無害,並將後面的網路釣魚頁面歸類為良性。

短期和單次使用連結

攻擊者正在大量建立全新且前所未見的網路釣魚 URL,因為現在這麼做比以往成本更低、更容易操作。單一網路釣魚頁面可能會被使用數小時 或甚至數分鐘,並且會在銷毀後切換到新的 URL,因此安全數據庫無法迅速追蹤並予以阻止。單次使用連結也常用於針對性攻擊,也就是用於 完成單一的任務,以後不再使用。

遭入侵的網站內進行的攻擊

攻擊者知道合法網站在 URL 數據庫中被歸類為良性網站,完全不需要重新檢查即可通過。如果攻擊者能夠入侵合法網站,就可以在其中建立網 路釣魚頁面,藉由偽裝的方式規避 Web 安全措施而到處肆虐。這些類型的網路釣魚頁面特別地成功,因為這些類型也更容易欺騙認為自己正在 與已知網站進行互動的最終使用者。

僅使用傳統的 Web 篩選、電子郵件和多因素驗證並不夠

在協助防範網路釣魚攻擊的競爭中,一些企業已經採用電子郵件驗證和多因素驗證技術。

問題是並非所有網路釣魚都來自電子郵件。使用者造訪的惡意網站發動的網路釣魚攻擊不會受到影響,因為使用者的企業採用電子郵件驗證系 統。網路釣魚連結也通常放置在 SaaS 協作套件中託管的文件內,做為網頁廣告的一部分,而且逐漸放置在 SMS 中,完全規避任何電子郵件型 控制。

如何降低網路釣魚的風險

您可以怎麼做來降低企業面臨的網路釣魚風險?有一些措施可以降低網路釣魚風險:

超越電子郵件的網路釣魚安全堆疊

體認到網路釣魚不僅是電子郵件問題這一點是關鍵。擁有能夠因應進階網路釣魚和侵入性網路釣魚攻擊的安全堆疊 相當重要。使用基於 URL 數據庫和網路編目程式的系統並不可行。需要內嵌機器學習之類的技術,在頁面內容交 付給最終使用者時進行實際分析,藉以確保沒有網路釣魚風險並防止第一感染源。

培訓

技術很重要,不過對於這一點,透過某種員工培訓計劃來了解網路釣魚風險不應該引起爭議。社交工程類型的網路釣魚攻擊所關注的重點不是利用技術,而在於攻擊人類。培訓有助於提高安全意識,並且促使員工成為問題解決方案的一部分。

完整安全性生命週期方法

降低網路釣魚的風險不僅止於部署任何一種技術;擁有完整生命週期方法才是重點。這表示企業需要同時具備主動能力和反應能力。其實,無論您部署多少或在安全方面投資多少,您也都必須為某些事態做好準備。如果員工遭受網路釣魚攻擊而且憑證遭竊怎麼辦?企業是否有能力偵測惡意存取並做出回應?

高階主管需要與企業的各個團隊合作,確保技術、人員和程序全部準備就緒,藉以盡可能防止傳入網路釣魚攻擊。網路釣魚是多層面的威脅,這需要全面的策略來因應。最後,克服網路釣魚的挑戰需要擁有從主動到被動的整合式點對點程序,這是因為,如果只有其中一種程序而沒有另一種程序,其實您並未準備好因應威脅。