認識【魚叉式網路釣魚】與 4 個預防方式
隨著網路普及,網路釣魚詐騙(Phishing)與衍生出的魚叉式網路釣魚(Spear Phishing)充斥現今社會。網路釣魚以偽造的資訊進行詐騙,那魚叉式網路釣魚跟網路釣魚又有什麼不同呢?本文將詳細介紹魚叉式網路釣魚、運作方式、常見類型,以及應對和預防的方法,提高資安與防範意識。
什麼是「魚叉式網路釣魚」?
所謂的魚叉式網路釣魚,就是網路釣魚的進化版,攻擊過程更細緻,通常鎖定單一個人或組織,設計真假難辨的騙局。比方說,在釣魚信件裡加入目標的相關資訊,如冒名上下游廠商、真實訂單內容、銀行帳戶資料等,更具可信度。等目標上鉤後,駭客再要求其依指示轉帳、騙取機敏資料,或進一步發動其他網路攻擊。比起內容一成不變、亂槍打鳥的網路釣魚,駭客進行魚叉式釣魚攻擊需要投入更多時間成本,但成功的機率也更高。
魚叉式網路釣魚除了在騙局設計上,比一般網路釣魚更加細緻以外,攻擊目的也有所差異。進行網路釣魚,誘使被害者點擊釣魚網站連結,駭客竊取帳號密碼、銀行付款資訊等敏感資料後,就已達到詐騙目的;而駭客多利用魚叉式釣魚入侵目標資訊和網路系統,騙取登入資訊只是後續攻擊的開端。
魚叉式網路釣魚是如何進行?
依據駭客的目的以及受害目標的情況,魚叉式網路釣魚的內容和執行方式變化多樣,但在運作上,魚叉式網路釣魚還是有一定的步驟:鎖定受害者、初步攻擊、受害者上鉤、完成攻擊四個階段。
一、鎖定受害者
第一步,駭客首先尋找受害目標,並收集目標的相關情報。如果目標是個人,駭客可能會收集網路瀏覽紀錄、使用哪些網路服務(如 Netflix 等)、公司類型和職位職權等等資訊;若目標為企業組織,駭客則可能調查商業往來夥伴、上下游廠商、組織人事架構等等。透過深入研究目標,收集相關資訊,駭客編纂可信度高的魚叉式網路釣魚陷阱。過去就有網路犯罪集團,以魚叉式釣魚假扮供應商向 Meta 和 Google 等科技巨頭詐騙逾 1 億美元。
二、初步攻擊
駭客組織即可開始根據手上有的資訊,設計高度客製化的騙局訊息,目的是製造急迫感、讓受害者恐慌或感到好奇。比如,在訊息中使用「限量」、「限時」、「立即行動」等詞彙,或是強調不依照指示採取行動,將有嚴重後果。再透過電子信箱、手機簡訊或是社群網站將訊息傳送給目標。
三、受害者上鉤
目標收到訊息後,依照訊息內的指示行動,匯款或是交出機敏資料,駭客就成功釣魚了。
四、完成攻擊
後續駭客可以再以魚叉式網路釣魚所獲得的登入資訊,發動更深入的網路攻擊,潛入企業組織內部系統、假冒受害者身份,繼續詐騙,或利用竊取的銀行資料,獲得更多財務上的利益。
【想知道除了網路釣魚和魚叉式網路釣魚以外,還有哪些社交工程伎倆嗎?請參考《社交工程是什麼?》。】
2 種「魚叉式網路釣魚」類型: 捕鯨攻擊、BEC 詐騙
魚叉式網路釣魚又能再細分出不同的類型,較常見的有「捕鯨攻擊(Whaling)」和「BEC(Business Email Compromise)詐騙」。
一、捕鯨攻擊(Whaling)
捕鯨攻擊只鎖定企業的高階主管,從 CEO、CFO 到 COO、CTO 都可能是其目標。駭客可能假扮為正當的公司企業,附上個人職稱、職位、電話等身份訊息,提升可信度,並企圖與目標高階主管討論其組織重要業務,精心設計騙局。駭客就是看準了一旦公司企業的高階主管受騙上鉤,極有可能獲取高價值資訊及龐大經濟利益,如同商業捕鯨一樣。
二、BEC(Business Email Compromise)詐騙
BEC 詐騙則是駭客假冒其他身份或竊取電子信箱帳戶,進行魚叉式網路攻擊。形式可能多變,例如假冒供應商寄送偽造的請款單、假扮 CEO 詐騙公司內部職員、冒充公司內部員工要求 IT 權限等等。
點擊釣魚郵件別緊張!遭到魚叉式網路釣魚攻擊的解決方法
無論是網路釣魚還是魚叉式網路釣魚信件,在現在網路世界都是泛濫成災,英國資安防護企業 AGG 保守估計每天有 34 億的釣魚信件,大家難免成為釣魚的目標。如果不小心誤觸了釣魚信件,要怎麼做才可以確保自己不會成為上鉤的魚呢?可以參考以下作法:
-
檢查電子郵件寄件地址
魚叉式網路釣魚手法較精緻,駭客比較不會使用隨機或亂碼的電子郵件地址寄信,但還是要多注意是否有以假亂真的寄件地址。
例如:以「john.kelly[at]gmail.com」代替「john.kelley[at]gmail.com」 -
勿點擊可疑電子郵件中的連結
如果無法確認電子郵件地址真偽,不要貿然點擊信中的連結。改以 Google 或其他搜尋引擎,自行輸入關鍵字連到網站。 -
勿下載夾帶檔案
同樣的道理,無法確認寄件者身份和信件內容的真實性時,不要打開夾帶檔案或下載任何檔案,很可能因此下載了惡意軟體,讓駭客可以進行其他網路攻擊。
【想知道有哪些網路攻擊可以透過釣魚或魚叉式網路釣魚進行嗎?請參考《網路攻擊》。】
-
多方確認
魚叉式網路攻擊中,駭客可能假扮企業內部人士,甚至高階主管 CEO 等等,若無法判斷電子郵件的內容是否為真,在採取任何行動之前,建議先透過別的溝通管道確認事情真假。 -
保持警覺性
閱讀信件時,若注意到內容帶有警告意味,企圖製造緊急和緊張感,或是提供超乎常理的優待和優惠等,都很可能就是魚叉式釣魚訊息,不要貿然依照信中指示行動。
4 個預防魚叉式網路釣魚的方式
企業又可以如何預防魚叉式網路釣魚攻擊呢?
-
提升資安意識:加強企業內部資安訓練,詳細介紹魚叉式網路釣魚的運作模式,以及實際案例。確保職員對於釣魚網路攻擊和其變形種類有一定認識,同時熟悉遇到時的應變措施。
-
使用雙因子(2FA)或多因子認證(MFA):2FA 和 MFA,透過除了帳號密碼以外的驗證因子,如生物特徵、實體卡片、簡訊等提升身份認證的安全性。降低企業內部帳號遭人盜用,以進行魚叉式網路釣魚的可能性。
-
使用防釣魚資安解決辦法:防釣魚資安解決辦法可分析信件行為、來源網域、語意預測等等,以過濾來信,直接阻擋可疑電子郵件。
-
建置 WAF 防火牆:有些 WAF 防火牆備有過濾惡意請求的功能,讓魚叉式釣魚信件無法寄送,並且阻擋信件中的惡意軟體進入企業網路系統。
魚叉式釣魚針對性高,可造成嚴重損害,實屬企業資安的一大隱憂。但是只要加強資安教育、時時保持警覺,並使用適當資安解決方法,如 MFA、防釣魚解決辦法和 WAF 防火牆,即可避免成為魚叉式網路釣魚的受害者。
歡迎聯絡晟崴科技
進一步瞭解晟崴科技如何協助企業預防魚叉式網路釣魚攻擊!
