目录
Threats

什麼是網路钓鱼攻击?

目录

網路釣魚是一種網路犯罪,攻擊者偽裝成可信賴的組織,誘騙人們交出使用者名稱、密碼和信用卡號碼等敏感資訊。這些詐騙通常透過電子郵件發生,但也可能透過電話、網站和社交媒體發生。

主要目的是身份盜用,讓攻擊者可以存取個人帳戶或公司系統,造成財務損失或聲譽受損。網路钓鱼利用人的信任和紧迫感。儘管網路安全已取得進展,但它仍然是一種威脅,因此保持警覺和謹慎是至關重要的。

 

網路钓鱼的演变

網路钓鱼攻击是社交工程的一种形式,自 20 世纪 90 年代中期出现以来,已经发生了显著的变化,其特点是攻击目标的复杂性增加。攻擊者會進行仔細的研究,針對受害者製作個人化的訊息,這種方法稱為魚叉式網路钓鱼。

最初,網路钓鱼詐騙相對不複雜,通常涉及大量散佈的電子郵件,目的是引誘毫無戒心的使用者提供敏感資訊,例如密碼或信用卡詳細資料。

隨著網際網路使用量的增加,網路釣魚者的策略也在增加,他們現在部署了更先進的技術,利用電子郵件偽造、語音釣魚 (vishing),甚至簡訊釣魚(smishing)。這些方法會欺騙受害者,讓他們以為是與合法且可信賴的來源互動。

這種改編展示了網路犯罪活動的動態性質,其動力來自技術的進步,以及利用數位通訊中人類弱點的不懈追求。

The Steps in a Phishing Attack | The image above describes the steps an attacker or bad actor will take to accomplish their specific phishing goals and objectives.
 

網路钓鱼是如何運作的?

網路釣魚的作法是誘騙受害者提供敏感資訊,例如使用者名稱、密碼、信用卡號碼或其他個人詳細資料。攻擊者通常會使用看似合法的欺騙性電子郵件、訊息或網站。

以下是分步細節:

  1. 誘餌製作:攻擊者製造令人信服的訊息或網站,模仿可信賴的實體,例如銀行、社交媒體網站或線上服務。

  2. 送貨:網路釣魚誘餌會透過電子郵件、簡訊、社交媒體或其他通訊管道傳送給潛在受害者。

  3. 欺騙:訊息通常包含緊急或誘人的內容,促使收件者按一下連結、下載附件或提供個人資訊。

  4. 剝削:如果受害者上鉤,他們會被引導到一個欺詐網站或表格,在那裡輸入他們的敏感資訊。

  5. 資料採集:攻擊者會收集提交的資訊,並將其用於惡意目的,例如身份盜用、金融詐騙或進一步的網路攻擊。

網路钓鱼攻击由于能够避开检测方法,已经成为最普遍、最有效的网络犯罪方法之一。上當受騙會增加遺失敏感資訊的風險,以及身份盜用、資料遺失或惡意軟體感染的可能性。

低成本網路钓鱼工具包的可用性增加了其部署的便利性。這些工具包是一些工具的集合,例如網站開發軟體、編碼、濫發電子郵件軟體和內容,可以利用這些工具來收集資料,並製作有說服力的網站和電子郵件。

增加更複雜、更神秘的網路釣魚技術,讓即使是新手的威脅參與者也能繞過傳統的安全防禦。

Types of Phishing Attacks | The image lists the ever-growing phishing attacks available to cybercriminals today.

 

商業電子郵件洩密 (BEC) vs. 網路钓鱼

商業電子郵件洩密 (BEC) 和網路釣魚 都是欺騙性的電子郵件攻擊,針對的對象不同,目標也各異。BEC 是有針對性的財務動機,而網路釣魚則會更廣泛地蒐集個人資料。

BEC 著重於組織內的特定個人,例如主管或財務人員,以操控業務流程來獲取財務利益。攻擊者收集資訊以製造令人信服的訊息,這些訊息可能導致未經授權的交易或敏感資訊的洩露。

相較之下,網路釣魚攻擊的目的是接觸廣泛的受眾,以蒐集個人資訊,例如密碼或信用卡詳細資料。這些電子郵件的個人化程度較低,而且試圖同時騙取許多人,使得網路钓鱼更多是關於資料收集,而非直接操控企業營運。

 

網路钓鱼攻击的类型

雖然不是完整的彙編,但以下是攻擊者最常使用的網路钓鱼技巧。瞭解這些技術可以幫助個人和組織更好地辨識和防禦網路钓鱼攻擊。

網路钓鱼

攻擊者發送看似來自可靠來源的欺詐電子郵件。它們要求收件人點擊連結、下載附件或提供敏感資訊。攻擊者使用各種策略,包括製造緊迫感或恐懼感,以操控收件者順從他們的要求。這些連結可能會將使用者重新導向合法的偽造網站,而附件則可能包含會感染收件者裝置的惡意軟體。

網路钓鱼

鱼叉式网络钓鱼是一种有针对性的网络犯罪形式,攻击者利用个人信息为特定个人或组织编写具有说服力的信息。一般網路釣魚的目標是許多收件者,而魚叉式網路釣魚不同,它是高度個人化的。

攻擊者從社交媒體或公司網站等來源收集詳細資訊,使其訊息看起來合法且相關。這會增加受害者參與內容、揭露敏感資訊或點選惡意連結的機會,使得魚叉式網路釣魚比更廣泛的網路釣魚策略更有效。

個案研究:FreeMilk 會話劫持魚叉式網路钓鱼活動

捕鯨

釣魚是一種以知名公司主管為目標的網路钓鱼。捕鯨的目的是透過電子郵件通訊取得高度機密的資訊。訊息通常會顯得很緊急,以說服接收者迅速採取行動。在這種情況下,受害者可能會事先不假思索地按一下惡意連結,使攻擊者得以竊取登入憑證和敏感資料或下載惡意軟體。

網路釣魚 (SMS Phishing)

網路钓鱼的行为与其他网络钓鱼攻击类似,但它以 SMS 消息的形式出现。通常,訊息中會包含欺詐附件或連結,促使使用者從移動設備點選。

網路釣魚(語音釣魚)

網路釣魚也稱為「語音釣魚」,是指攻擊者透過電話以受害者為目標,從而取得資料存取權限。為了顯得合法,攻擊者可能會假裝從受害者的銀行或政府機構撥打電話。

克隆網路钓鱼

複製網路钓鱼是一種複雜的方法,攻擊者會建立幾乎完全相同的合法電子郵件複本,並以惡意連結或附件取代。複製的電子郵件看似來自受信任的來源,使受害者更有可能相信訊息並遵循指示。

藥劑

攻擊者通常透過 DNS 中毒,在使用者不知情的情況下,將合法網站流量重定向至詐騙網站,而非直接誘騙個人。許多網路安全措施都沒有注意到這一點。

HTTPS 網路钓鱼

HTTPS 網路釣魚是一種攻擊,攻擊者利用 HTTPS (表示安全連線的通訊協定) 製造欺詐網站,使其看起來合法可信。透過使用 HTTPS 憑證保護惡意網站,攻擊者可欺騙受害者,讓他們相信網站是安全且真實的。

基於憑證的攻擊

基於憑證的攻擊 使用竊取或外洩的登入憑證 (使用者名稱和密碼) 未經授權存取系統、網路或帳戶。這些攻擊通常涉及以下策略:

  • 網路钓鱼:欺騙性的電子郵件或訊息會誘騙使用者提供登入詳細資料。
  • 鍵盤記錄:惡意軟體會記錄按鍵動作,以便在輸入時擷取憑證。
  • 塞滿證書:利用人們經常在多個網站重複使用密碼的事實,使用從一個漏洞竊取的憑證清單存取其他系統。
  • 暴力攻擊:有系統地嘗試所有可能的使用者名稱和密碼組合,直到找到正確的組合為止。
  • 中間人攻擊:截取使用者與系統之間的通訊以擷取憑證。
How to Spot and Protect Against Phishing | Organizations can protect themselves against phishing by using these top 3 identifiers to quickly identify and spot a phishing email.
 

如何辨識網路钓鱼的技巧

這些年來,網路罪犯已大幅演進。他們可以製作詐騙訊息和附件,幾乎可以說服任何人。訓練有素的個人遵循適當的安全協定,即使是複雜的網路钓鱼企圖,通常也能偵測出來。即使是經驗最豐富的網路安全專業人員,也很難發現這些問題。潛在目標可以尋找常見的跡象來識別網路钓鱼訊息。

A Standard Phishing Attack | The diagram shows the steps a phishing attacker goes through to collect personal information from victims.

網路钓鱼的常见迹象

防範網路釣魚攻擊的最佳方法是了解並辨識釣魚電子郵件的常見洩密方式,這些洩密方式看起來可能可疑,也可能不可疑。以下是一些贈品:

  • 詳述帳戶、銀行詳細資料、金融交易和貨件問題的訊息,在大多數人都在期待送貨的假期中非常普遍。
  • 語言顯得不正確,訊息也缺乏流暢性,而這正是母語人士的典型表現。它的特色是拼寫錯誤、語法不佳和使用問題。
  • 訊息看起來像是來自可信賴的品牌,但卻包含不熟悉的元素,例如不太正確的顏色、格式或字型。
  • 這些訊息看起來很不專業,但卻以主管或其他有影響力人士的溝通方式呈現。
  • 發件人是美國聯邦政府機構,要求您透過電子郵件提供個人識別資訊 (PII),或跟隨一個非以 .gov 結尾的 URL 連結。
  • 寄件者會立即要求您提供社會安全碼或稅務辨識碼。
  • 寄件者的地址、姓名或電子郵件地址看起來很奇怪。
  • 訊息來自您不認識的人,要求您提供禮物卡、轉帳、銀行或信用卡資訊。
  • 訊息中包含要點選的連結或要下載的附件,但位址或檔案名稱似乎不尋常。
  • 意外的附件或檔案名稱不尋常或不熟悉,都是惡意的跡象。
Why Protecting and Responding to Phishing is Hard | Discover three main reasons why protection from and response to phishing attacks is very difficult.

 

如何防範網路钓鱼攻擊

網絡钓鱼是一種多方面的威脅,要求採用全面的策略來擊敗它。要克服網路钓鱼的挑战,需要一个从主动到被动的端到端整合流程。如果您擁有其中一項而沒有另一項,您就沒有準備好應對威脅。

網路钓鱼安全堆栈

認識到網路钓鱼不只是電子郵件的問題是非常重要的。擁有能夠處理進階網路釣魚和入侵式網路釣魚攻擊的安全堆棧是非常重要的。使用以 URL 資料庫和網路爬蟲為基礎的系統是行不通的。需要線上機器學習等技術來分析傳送給終端使用者的頁面內容,以確保沒有網路钓鱼風險,並防止病患零感染。

安全生命週期方法

降低網路钓鱼的风险不仅仅是部署任何一种技术,而是要有一个完整的生命周期方法。這意味著組織需要同時具備主動和被動的能力。無論您在安全方面部署或投資多少,您都必須計劃好讓某些東西通過。如果員工被網路钓鱼,憑證被盜,組織是否有能力偵測惡意存取,然後採取應對措施?

執行管理階層必須與組織的團隊合作,以確保技術、人員和流程到位,協助預防盡可能多的入站網路釣魚攻擊。

以下是一些額外的網路钓鱼防禦策略:

  • 採用垃圾郵件過濾器和設定電子郵件驗證通訊協定,可以大幅降低網路钓鱼電子郵件到達使用者收件匣的風險。
  • 定期以最新的修補程式更新軟體和系統,有助於彌補網路罪犯經常利用的安全漏洞。
  • 實施多因素身份驗證可在密碼之外要求多一種驗證形式,從而增加一層額外的安全性。
  • 教育使用者有關網路钓鱼威脅的本質至關重要。定期的訓練課程和更新可以幫助人們辨識可疑的電子郵件、連結或網站。
  • 實施彈性的電子郵件過濾系統,可以大幅減少進入收件匣的網路钓鱼電子郵件數量。
  • 確保網路安全,使用防火牆和最新的防毒軟體來阻擋潛在的網路釣魚攻擊是至關重要的。
  • 採用反網路釣魚工具和策略,例如瀏覽器擴充套件和網路安全軟體,可以提供即時保護,提醒使用者注意潛在的網路釣魚網站,並在損害發生之前攔截惡意內容。

利用全面的平台將風險降至最低

一個全面的安全平台,如 Cortex XSIAM,專注於人員、流程和技術,可以最大限度地減少成功的網絡钓鱼攻擊。

在技術方面, 沙箱 等安全工具會分析未知的連結或檔案,如果是惡意的,就會實施政策阻止存取。其他程序,例如 URL 過濾,可封鎖 已知的惡意網站和未知網站,及早預防攻擊。存取威脅情報雲可提供全球社群的綜合知識,在之前發生類似攻擊時提供保護。

以電子郵件網關信譽為基礎的解決方案,可以根據內嵌 URL 的已知惡意信譽來捕捉網路钓鱼電子郵件並將其分類。不過,精心製作的網路钓鱼訊息,其 URL 來自受攻擊的合法網站,在傳送時不會有不良聲譽,因此會被這些工具漏掉。

最有效的系統可根據分析結果 (例如不尋常的流量模式) 識別可疑的電子郵件。然後,他們會重寫嵌入式 URL,並持續檢查網頁內的攻擊和下載。

這些監控工具會隔離可疑的電子郵件訊息,讓管理員可以研究正在進行的網路钓鱼攻擊。如果偵測到許多網路釣魚電子郵件,管理員可以提醒員工,並降低目標性網路釣魚活動成功的機率。

 

網路钓鱼攻击常见问题

如果您收到網路钓鱼电子邮件,请勿单击任何链接或下载附件。向您的 IT 部門或電子郵件供應商報告該電子郵件,並將其刪除。如果您不小心參與了這些內容,請立即更改您的密碼,並監控您的帳戶是否有異常活動。
成為網路釣魚攻擊的受害者可能導致個人或財務資訊被盜用(身分盜用)、未經授權存取您的帳戶、經濟損失、遭受進一步的網路攻擊,以及資料安全性受損。快速回應和報告對於減輕損害至關重要。
若要報告網路釣魚企圖,您可以將可疑的電子郵件轉寄給電子郵件供應商的濫用部門 (例如 abuse@domain.com),若是與工作有關,則通知您的 IT 部門,或使用線上報告工具,例如 Anti-Phishing Working Group (APWG) 報告網路釣魚服務。此外,您可以透過聯邦貿易委員會 (FTC) 的網站向其報告。
是的,網路钓鱼电子邮件可能包含附件或链接,打开或单击这些附件或链接后,可能会在您的计算机上下载和安装恶意软件。此類惡意軟體可以竊取敏感資訊、監視您的活動,甚至允許攻擊者遠端控制您的設備。

相關內容

获取最新资讯、活动邀请以及威胁警报