釣魚攻擊是高度數位化的世界中的一個持續威脅,長期造成個人和組織的擔憂。魚叉式釣魚攻擊又是此類型網路犯罪中特別令人擔憂的一種。究竟什麼是魚叉式釣魚?是否能夠預防魚叉式釣魚攻擊?
魚叉式釣魚:定義
雖然釣魚一詞廣泛意指透過電子郵件、簡訊或電話進行的網路攻擊,有針對性的釣魚攻擊另有別名 - 魚叉式釣魚。簡單來說,魚叉式釣魚是高度個人化的網路攻擊,會針對特定個人或公司。魚叉式釣魚攻擊通常透過看似正常的魚叉式釣魚郵件進行,郵件中會促使收件人與攻擊者分享敏感資訊。雖然魚叉式釣魚攻擊的目標通常是竊取登入憑證或信用卡資訊等,但有些攻擊則為了感染裝置而設計。通常,政府贊助的駭客和駭客活動份子是魚叉式釣魚詐騙的幕後主使。然而,個人網路犯罪份子也可能進行這類攻擊,目的可能是進行身份盜竊、金融詐騙、操縱股票價格、進行間諜活動、竊取機密資料以轉售給政府、私人公司或其他感興趣人士。
魚叉式釣魚詐騙較一般釣魚攻擊更成功更為成功,因為攻擊者對其目標進行了廣泛的研究,並利用找到的資訊搭配上社會工程手法進行極度量身製作的攻擊,欺騙受害者並使其認為所接收到的郵件和請求來自合法來源。因此,即使是組織內的高階主管等高層人員,也可能不小心打開貌似安全的郵件。這種無心的錯誤讓網路犯罪份子能夠竊取資料並用以攻擊目標網路。
魚叉式釣魚攻擊的原理
進行魚叉式釣魚詐騙基本上有五個步驟,這些步驟為:
- 確定攻擊的目標
- 進行初步研究以選擇目標
- 制定潛在目標名單並對其進行深入研究
- 使用收集到的資訊和社會工程手法來創建魚叉式釣魚郵件
這些有針對性的攻擊之所以奏效,是因為魚叉式釣魚郵件與收件人的生活緊密相關。攻擊者花費大量時間和精力來追蹤收件人的工作、生活、朋友和家人等方面的細節。透過在網路和社群媒體平台(如 Facebook 和 LinkedIn 等)上搜尋,網路釣魚者可以找到電子郵件地址、電話號碼、親朋好友和商業聯絡人的關係網、經常出入的地點以及其任職的公司和職位、線上購物習慣、使用的銀行服務等資訊。利用所有這些資訊,攻擊者可以建立潛在目標的廣泛性資料檔案,並使用社會工程手法來創建個人化的魚叉式釣魚郵件,使其貌似真實來自收件人定期來往的個人或公司,並可能實際含有真實資訊。
這類郵件通常會要求收件人立即回覆並提供特定詳細資訊,或附有一個連結,收件人需要在該連結導向的假冒網站上輸入詳細資訊。例如:郵件的連結可能會將他們引導到一個貌似其銀行或常用電子商務網站的假冒網站,並等待受害者登入帳戶。其後,攻擊者就能夠竊取登入詳細資訊和密碼並用於惡意目的。有時攻擊者則會讓郵件附上一個附件或連結,讓收件人在下載或點擊時就會在其裝置上安裝惡意軟體。攻擊者隨後可以使用這個軟體來竊取他們想要的資訊或者控制電腦並組織為大規模的網路 - 也就是所謂的殭屍網路(botnets)並以此執行阻斷服務(DoS)攻擊。
然而,並非每個網路或社群媒體使用者都是魚叉式釣魚的良好目標。因為其需要較一般釣魚攻擊更多的努力,網路犯罪份子通常會尋找高價值目標。攻擊者通常會使用自動演算法搜尋網路和社群媒體,尋找特定資訊(例如:密碼或 PIN 碼),並找出更有潛力進行魚叉式釣魚攻擊的高價值目標。
此類詐騙手法已日益複雜,以至於普通人幾乎不可能進行防禦。因此,儘管沒有能絕對預防魚叉式釣魚的網路安全措施,但了解這些攻擊的運作原理以及了解需要留意警惕的跡象有助於避免受到攻擊。
辨識魚叉式釣魚詐騙
學習如何預防魚叉式釣魚的關鍵之一是了解網路釣魚者為確保攻擊成功而使用的各種方式,如此一來,個人和公司員工就能抵禦魚叉式釣魚詐騙。當收到的電子郵件出現下列任何警訊時,應謹慎處理。
- 電子郵件製造緊急感或恐慌 - 郵件可能貌似來自企業管理者並迫切需要登入詳細資訊以執行及時動作。
- 使用能引發恐懼或愧疚等情緒的字詞 - 促使收件人採取行動。
- 電子郵件地址看起來不正確 - 也許域名不正確,或名稱格式不尋常。
- 明顯的拼寫和語法錯誤,特別是來自銀行等大型機構的電子郵件。
- 要求提供敏感資訊和個人詳細資訊。
- 連結拼錯或格式不正確,連結與懸停時所顯示的網址不相符。
- 未經請求而收到的附件,特別是具有不尋常檔案名稱的附件。
- 編造虛假原因,例如:聲稱您的登入憑證即將到期,必需立即使用郵件中的連結進行更改。
魚叉式釣魚與釣魚的差別為何?
雖然兩者都是網路攻擊的類型,但了解魚叉式釣魚攻擊與釣魚攻擊的區別很重要。兩者都是網路犯罪份子用來誘騙使用者分享敏感個人資訊的方法,但基本上,前者是針對特定目標的針對性攻擊,後者則是廣泛的攻擊,等待使用者受騙「上鉤」並分享敏感資料。
釣魚攻擊通常偽裝成常見的電子郵件,試圖誘騙收件者分享密碼和信用卡詳細資訊等個人資料,網路釣魚者再使用這些資訊進行身份盜竊或金融詐騙等惡意活動,但釣魚攻擊完全不針對個別收件者特別設計。網路犯罪份子基本上碰運氣並重量不重質(傳送大量的釣魚郵件但不使用更複雜的技術創建成功機會較高的釣魚郵件)。通常,釣魚郵件會假冒銀行或電子商務網站等大型企業並會在郵件中附上惡意連結,欺騙收件者分享資料或在其裝置上安裝惡意軟體。
相反,魚叉式釣魚詐騙則是高度具有針對性的攻擊,非常個人化並針對特定受害者。由於其包含與特定收件人有關的詳細資訊,魚叉式釣魚郵件看似更為真實 - 特別因為其通常假冒收件者熟悉的個人或組織。因此,網路犯罪份子必須投入更多的時間和精力來進行魚叉式釣魚攻擊,但也更有可能成功。
具有針對性的釣魚攻擊除了魚叉式釣魚以外還有兩種子類別:捕鯨(whaling)和商業電子郵件入侵(BEC)。
第三類攻擊是捕鯨攻擊,與釣魚和魚叉式釣魚詐騙有許多相似之處。捕鯨專門針對高階主管、董事會成員、名人和政治家等高知名度的個人。此類攻擊也使用高度個人化的電子郵件,試圖自公司或組織竊取財務、敏感或其他機密資訊,可能會對遭受攻擊的機構造成重大的財務或聲譽損害。
最後一種釣魚攻擊類型是 BEC 攻擊,其方式為假冒公司員工以對組織進行金融詐騙。此類攻擊的電子郵件可能聲稱來自高階主管,要求較低階級的員工支付虛假費用或將資金轉移給「高階主管」。BEC 攻擊也可能以侵佔電子郵件的形式進行,其中攻擊者劫持員工的電子郵件並讓供應商支付虛假費用或讓其他員工轉移資金或機密資訊。
如何預防魚叉式釣魚攻擊
傳統的魚叉式釣魚網路安全通常不足以防止這些攻擊,因為其手法非常出色,也因此越來越難以發現和偵測。任何簡單的錯誤都能對目標(無論是個人、政府、企業還是非營利組織)產生嚴重的後果。儘管此類攻擊非常普遍且個人化程度高,個人或組織仍可以採取許多措施來預防魚叉式釣魚攻擊。雖然這些措施無法完全消除其威脅,但能夠提供額外的安全層並降低攻擊發生的可能性。以下為一些專家就魚叉式釣魚攻擊所建議的防範方法。
- 定期檢查可疑的電子郵件,例如要求更改密碼或包含可疑連結的郵件。
- 使用虛擬私人網路(VPN)以保護和加密所有網路活動。
- 使用防毒軟體掃描所有電子郵件,以找出潛在的惡意郵件附件、連結或下載。
- 學習如何確認電子郵件來源的真實性。
- 學習如何確認 URL 和網站,避免打開惡意連結。
- 避免點擊電子郵件中的連結,另行造訪組織的網站並搜尋所需的頁面。
- 確保所有軟體都更新至最新版本的並運行最新的安全補丁。
- 避免在網路上分享過多的個人資料 - 如有必要,請檢查社群媒體個人檔案,刪除可能被網路釣魚者利用的內容,並確保使用最高級別的隱私設定。
- 使用密碼管理器,養成好的密碼習慣,包括為不同帳戶創建複雜的密碼並定期更改。
- 如果可行,請啟用多因素驗證或生物識別身分驗證。
- 如果對郵件來源有所懷疑,請聯絡寄件人或組織以驗證郵件以及其所要求資訊的真實性。
- 公司可以進行安全意識培訓,確保員工了解此類攻擊的風險以及其應對方法。
- 組織可以定期進行釣魚模擬演習,培訓員工如何識別和應對可疑的電子郵件。
魚叉式釣魚攻擊並非無法避免
大多數網路使用者對釣魚攻擊都有基本的了解,但了解魚叉式釣魚和標準釣魚的差別非常重要。因為魚叉式釣魚郵件使用了經過大量研究的社會工程手法,對其預定目標進行高度量身訂做的攻擊,因此成功機會遠高於一般釣魚攻擊。儘管無法完全消除此類攻擊的風險,但可以嘗試降低其程度。採取措施了解可疑電子郵件中應注意的警訊,固定使用虛擬私人網路(VPN)和防毒軟體、謹慎處理可疑的連結和附件,皆有助於避免魚叉式釣魚攻擊。
常見問題解答
立即使用卡巴斯基高階版 + 1 年免費卡巴斯基兒童安全。卡巴斯基高階版榮獲五項 AV-TEST 獎項,包括最佳保護、最佳效能、最快 VPN、經認證的 Windows 家長控制以及 Android 家長控制最佳評級。
相關產品和服務: