认识【鱼叉式网路钓鱼】与 4 个预防方式
随着网络普及,网络钓鱼诈骗(Phishing)与衍生出的鱼叉式网络钓鱼(Spear Phishing)充斥现今社会。网络钓鱼以伪造的信息进行诈骗,那鱼叉式网络钓鱼跟网络钓鱼又有什么不同呢?本文将详细介绍鱼叉式网络钓鱼、运作方式、常见类型,以及应对和预防的方法,提高资安与防范意识。
什么是「鱼叉式网络钓鱼」?
所谓的鱼叉式网络钓鱼,就是网络钓鱼的进化版,攻击过程更细致,通常锁定单一个人或组织,设计真假难辨的骗局。比如,在钓鱼信件里加入目标的相关信息,如冒名上下游厂商、真实订单内容、银行账户资料等,更具可信度。等目标上钩后,黑客再要求其依指示转账、骗取机敏资料,或进一步发动其他网络攻击。比起内容一成不变、乱枪打鸟的网络钓鱼,黑客进行鱼叉式钓鱼攻击需要投入更多时间成本,但成功的几率也更高。
鱼叉式网络钓鱼除了在骗局设计上,比一般网络钓鱼更加细致以外,攻击目的也有所差异。进行网络钓鱼,诱使被害者点击钓鱼网站链接,黑客窃取账号密码、银行付款信息等敏感资料后,就已达到诈骗目的;而黑客多利用鱼叉式钓鱼入侵目标信息和网络系统,骗取登录信息只是后续攻击的开端。
鱼叉式网络钓鱼是如何进行?
依据黑客的目的以及受害目标的情况,鱼叉式网络钓鱼的内容和执行方式变化多样,但在运作上,鱼叉式网络钓鱼还是有一定的步骤:锁定受害者、初步攻击、受害者上钩、完成攻击四个阶段。
一、锁定受害者
第一步,黑客首先寻找受害目标,并收集目标的相关情报。如果目标是个人,黑客可能会收集网络浏览记录、使用哪些网络服务(如 Netflix 等)、公司类型和职位职权等等信息;若目标为企业组织,黑客则可能调查商业往来伙伴、上下游厂商、组织人事架构等等。通过深入研究目标,收集相关信息,黑客编纂可信度高的鱼叉式网络钓鱼陷阱。过去就有网络犯罪集团,以鱼叉式钓鱼假扮供应商向 Meta 和 Google 等科技巨头诈骗逾 1 亿美元。
二、初步攻击
黑客组织即可开始根据手上有的信息,设计高度定制化的骗局信息,目的是制造紧迫感、让受害者恐慌或感到好奇。比如,在信息中使用“限量”、“限时”、“立即行动”等词汇,或是强调不依照指示采取行动,将有严重后果。再通过电子邮箱、手机短信或是社交网站将信息传送给目标。
三、受害者上钩
目标收到信息后,依照信息内的指示行动,汇款或是交出机敏资料,黑客就成功钓鱼了。
四、完成攻击
后续黑客可以再以鱼叉式网络钓鱼所获得的登录信息,发动更深入的网络攻击,潜入企业组织内部系统、假冒受害者身份,继续诈骗,或利用窃取的银行资料,获得更多财务上的利益。
【想知道除了网络钓鱼和鱼叉式网络钓鱼以外,还有哪些社交工程伎俩吗?请参考《社交工程是什么?》。】
2 种「鱼叉式网络钓鱼」类型:捕鲸攻击、BEC 诈骗
鱼叉式网络钓鱼又能再细分出不同的类型,较常见的有「捕鲸攻击(Whaling)」和「BEC(Business Email Compromise)诈骗」。
一、捕鲸攻击(Whaling)
捕鲸攻击只锁定企业的高阶主管,从 CEO、CFO 到 COO、CTO 都可能是其目标。黑客可能假扮为正当的公司企业,附上个人职称、职位、电话等身份信息,提升可信度,并企图与目标高阶主管讨论其组织重要业务,精心设计骗局。黑客就是看准了一旦公司企业的高阶主管受骗上钩,极有可能获取高价值信息及庞大经济利益,如同商业捕鲸一样。
二、BEC(Business Email Compromise)诈骗
BEC 诈骗则是黑客假冒其他身份或窃取电子邮箱账户,进行鱼叉式网络攻击。形式可能多变,例如假冒供应商寄送伪造的请款单、假扮 CEO 诈骗公司内部职员、冒充公司内部员工要求 IT 权限等等。
点击钓鱼邮件别紧张!遭到鱼叉式网络钓鱼攻击的解决方法
无论是网络钓鱼还是鱼叉式网络钓鱼信件,在现在网络世界都是泛滥成灾,英国资安防护企业 AGG 保守估计每天有 34 亿的钓鱼信件,大家难免成为钓鱼的目标。如果不小心误触了钓鱼信件,要怎么做才可以确保自己不会成为上钩的鱼呢?可以参考以下做法:
-
检查电子邮件寄件地址
鱼叉式网络钓鱼手法较精致,黑客比较不会使用随机或乱码的电子邮件地址寄信,但还是要多注意是否有以假乱真的寄件地址。
例如:以「john.kelly[at]gmail.com」代替「john.kelley[at]gmail.com」 -
勿点击可疑电子邮件中的链接
如果无法确认电子邮件地址真伪,不要贸然点击信中的链接。改以 Google 或其他搜索引擎,自行输入关键字连到网站。 -
勿下载夹带文件
同样的道理,无法确认寄件者身份和信件内容的真实性时,不要打开夹带文件或下载任何文件,很可能因此下载了恶意软件,让黑客可以进行其他网络攻击。
【想知道有哪些网络攻击可以通过钓鱼或鱼叉式网络钓鱼进行吗?请参考《网络攻击》。】
-
多方确认
鱼叉式网络攻击中,黑客可能假扮企业内部人士,甚至高阶主管 CEO 等等,若无法判断电子邮件的内容是否为真,在采取任何行动之前,建议先通过别的沟通管道确认事情真假。 -
保持警觉性
阅读信件时,若注意到内容带有警告意味,企图制造紧急和紧张感,或是提供超乎常理的优待和优惠等,都很可能就是鱼叉式钓鱼信息,不要贸然依照信中指示行动。
4 个预防鱼叉式网络钓鱼的方式
企业又可以如何预防鱼叉式网络钓鱼攻击呢?
-
提升资安意识:加强企业内部资安训练,详细介绍鱼叉式网络钓鱼的运作模式,以及实际案例。确保职员对于钓鱼网络攻击和其变形种类有一定认识,同时熟悉遇到时的应变措施。
-
使用双因子(2FA)或多因子认证(MFA):2FA 和 MFA,通过除了账号密码以外的验证因子,如生物特征、实体卡片、短信等提升身份认证的安全性。降低企业内部账号遭人盗用,以进行鱼叉式网络钓鱼的可能性。
-
使用防钓鱼资安解决办法:防钓鱼资安解决办法可分析信件行为、来源网域、语意预测等等,以过滤来信,直接阻挡可疑电子邮件。
-
建置 WAF 防火墙:有些 WAF 防火墙备有过滤恶意请求的功能,让鱼叉式钓鱼信件无法寄送,并且阻挡信件中的恶意软件进入企业网络系统。
鱼叉式钓鱼针对性高,可造成严重损害,实属企业资安的一大隐忧。但是只要加强资安教育、时常保持警觉,并使用适当资安解决办法,如 MFA、防钓鱼解决办法和 WAF 防火墙,即可避免成为鱼叉式网络钓鱼的受害者。
欢迎联系晟崴科技
进一步了解晟崴科技如何协助企业预防鱼叉式网络钓鱼攻击!
