認識【魚叉式網路釣魚】與 4 個預防方式

 什麼是「魚叉式網路釣魚」？

所謂的魚叉式網路釣魚，就是網路釣魚的進化版，攻擊過程更細緻，通常鎖定單一個人或組織，設計真假難辨的騙局。比方說，在釣魚信件裡加入目標的相關資訊，如冒名上下游廠商、真實訂單內容、銀行帳戶資料等，更具可信度。等目標上鉤後，駭客再要求其依指示轉帳、騙取機敏資料，或進一步發動其他網路攻擊。比起內容一成不變、亂槍打鳥的網路釣魚，駭客進行魚叉式釣魚攻擊需要投入更多時間成本，但成功的機率也更高。

魚叉式網路釣魚除了在騙局設計上，比一般網路釣魚更加細緻以外，攻擊目的也有所差異。進行網路釣魚，誘使被害者點擊釣魚網站連結，駭客竊取帳號密碼、銀行付款資訊等敏感資料後，就已達到詐騙目的；而駭客多利用魚叉式釣魚入侵目標資訊和網路系統，騙取登入資訊只是後續攻擊的開端。

魚叉式網路釣魚是如何進行？

依據駭客的目的以及受害目標的情況，魚叉式網路釣魚的內容和執行方式變化多樣，但在運作上，魚叉式網路釣魚還是有一定的步驟：鎖定受害者、初步攻擊、受害者上鉤、完成攻擊四個階段。

一、鎖定受害者

第一步，駭客首先尋找受害目標，並收集目標的相關情報。如果目標是個人，駭客可能會收集網路瀏覽紀錄、使用哪些網路服務（如 Netflix 等）、公司類型和職位職權等等資訊；若目標為企業組織，駭客則可能調查商業往來夥伴、上下游廠商、組織人事架構等等。透過深入研究目標，收集相關資訊，駭客編纂可信度高的魚叉式網路釣魚陷阱。過去就有網路犯罪集團，以魚叉式釣魚假扮供應商向 Meta 和 Google 等科技巨頭詐騙逾 1 億美元。

二、初步攻擊

駭客組織即可開始根據手上有的資訊，設計高度客製化的騙局訊息，目的是製造急迫感、讓受害者恐慌或感到好奇。比如，在訊息中使用「限量」、「限時」、「立即行動」等詞彙，或是強調不依照指示採取行動，將有嚴重後果。再透過電子信箱、手機簡訊或是社群網站將訊息傳送給目標。

三、受害者上鉤

目標收到訊息後，依照訊息內的指示行動，匯款或是交出機敏資料，駭客就成功釣魚了。

四、完成攻擊

後續駭客可以再以魚叉式網路釣魚所獲得的登入資訊，發動更深入的網路攻擊，潛入企業組織內部系統、假冒受害者身份，繼續詐騙，或利用竊取的銀行資料，獲得更多財務上的利益。

【想知道除了網路釣魚和魚叉式網路釣魚以外，還有哪些社交工程伎倆嗎？請參考《社交工程是什麼？》。】

2 種「魚叉式網路釣魚」類型： 捕鯨攻擊、BEC 詐騙

魚叉式網路釣魚又能再細分出不同的類型，較常見的有「捕鯨攻擊（Whaling）」和「BEC（Business Email Compromise）詐騙」。

一、捕鯨攻擊（Whaling）

捕鯨攻擊只鎖定企業的高階主管，從 CEO、CFO 到 COO、CTO 都可能是其目標。駭客可能假扮為正當的公司企業，附上個人職稱、職位、電話等身份訊息，提升可信度，並企圖與目標高階主管討論其組織重要業務，精心設計騙局。駭客就是看準了一旦公司企業的高階主管受騙上鉤，極有可能獲取高價值資訊及龐大經濟利益，如同商業捕鯨一樣。

二、BEC（Business Email Compromise）詐騙

BEC 詐騙則是駭客假冒其他身份或竊取電子信箱帳戶，進行魚叉式網路攻擊。形式可能多變，例如假冒供應商寄送偽造的請款單、假扮 CEO 詐騙公司內部職員、冒充公司內部員工要求 IT 權限等等。

點擊釣魚郵件別緊張！遭到魚叉式網路釣魚攻擊的解決方法

無論是網路釣魚還是魚叉式網路釣魚信件，在現在網路世界都是泛濫成災，英國資安防護企業 AGG 保守估計每天有 34 億的釣魚信件，大家難免成為釣魚的目標。如果不小心誤觸了釣魚信件，要怎麼做才可以確保自己不會成為上鉤的魚呢？可以參考以下作法：

• 檢查電子郵件寄件地址
  魚叉式網路釣魚手法較精緻，駭客比較不會使用隨機或亂碼的電子郵件地址寄信，但還是要多注意是否有以假亂真的寄件地址。
  例如：以「john.kelly[at]gmail.com」代替「john.kelley[at]gmail.com」

• 勿點擊可疑電子郵件中的連結
  如果無法確認電子郵件地址真偽，不要貿然點擊信中的連結。改以 Google 或其他搜尋引擎，自行輸入關鍵字連到網站。

• 勿下載夾帶檔案
  同樣的道理，無法確認寄件者身份和信件內容的真實性時，不要打開夾帶檔案或下載任何檔案，很可能因此下載了惡意軟體，讓駭客可以進行其他網路攻擊。

【想知道有哪些網路攻擊可以透過釣魚或魚叉式網路釣魚進行嗎？請參考《網路攻擊》。】

• 多方確認
  魚叉式網路攻擊中，駭客可能假扮企業內部人士，甚至高階主管 CEO 等等，若無法判斷電子郵件的內容是否為真，在採取任何行動之前，建議先透過別的溝通管道確認事情真假。

• 保持警覺性
  閱讀信件時，若注意到內容帶有警告意味，企圖製造緊急和緊張感，或是提供超乎常理的優待和優惠等，都很可能就是魚叉式釣魚訊息，不要貿然依照信中指示行動。

企業又可以如何預防魚叉式網路釣魚攻擊呢？

1. 提升資安意識：加強企業內部資安訓練，詳細介紹魚叉式網路釣魚的運作模式，以及實際案例。確保職員對於釣魚網路攻擊和其變形種類有一定認識，同時熟悉遇到時的應變措施。

2. 使用雙因子（2FA）或多因子認證（MFA）：2FA 和 MFA，透過除了帳號密碼以外的驗證因子，如生物特徵、實體卡片、簡訊等提升身份認證的安全性。降低企業內部帳號遭人盜用，以進行魚叉式網路釣魚的可能性。

3. 使用防釣魚資安解決辦法：防釣魚資安解決辦法可分析信件行為、來源網域、語意預測等等，以過濾來信，直接阻擋可疑電子郵件。

4. 建置 WAF 防火牆：有些 WAF 防火牆備有過濾惡意請求的功能，讓魚叉式釣魚信件無法寄送，並且阻擋信件中的惡意軟體進入企業網路系統。

魚叉式釣魚針對性高，可造成嚴重損害，實屬企業資安的一大隱憂。但是只要加強資安教育、時時保持警覺，並使用適當資安解決方法，如 MFA、防釣魚解決辦法和 WAF 防火牆，即可避免成為魚叉式網路釣魚的受害者。

歡迎聯絡晟崴科技