在網絡釣魚攻擊中,攻擊者會偽裝身份並利用欺詐通訊欺騙受害者分享敏感資料或下載惡意程式。
目錄
網絡釣魚指歹徒透過冒充合法實體來欺騙受害者的方式。它被認為是社交工程攻擊,因為它利用詭計和欺詐行為來影響人類情緒,例如恐懼、同理心和貪婪。
在網絡釣魚計劃中,攻擊者以電郵、短訊、電話或社交媒體平台作為合法及可信賴的人或企業進行攻擊。他們使用情緒操控來欺騙受害者分享敏感的個人或企業資料。目標是:
- 盜竊個人身份資料,例如用戶名稱、密碼、信用卡號碼、銀行資料或敏感企業資料,它們可出售及用於侵入帳戶或竊取金錢
- 說服用戶將資金轉移到看起來是信譽良好的個人或公司
- 以惡意程式或勒索程式感染用戶的電腦
網絡釣魚攻擊有多常見?
網絡釣魚是最常見的資料外洩攻擊途徑。在 2025 年第一季,反網絡釣魚工作小組錄得超過一百萬次網絡釣魚攻擊,是自 2023 年底以來最大的數量。超過 30% 的攻擊都是針對網上付款及金融界。
網絡釣魚在網絡攻擊者中大受歡迎有幾個原因:
- 成本低廉:只需建立看似來自真實公司的電郵或文字訊息即可。
- 攻擊會很成功,因為它們會利用人類情緒而非預先程式化的技術。
- 機構嚴重依賴電郵,使其成為最高風險媒介之一。
- 即便是使用資訊保安軟件,也不一定能在進行過程中捕捉這類攻擊,因為人類仍可選擇點選連結、開啟文件或分享敏感資訊。根據 Gartner® 報告,人為錯誤佔所有保安漏洞約 76%。此外,系統入侵、基本網站應用程式攻擊及社交工程總共佔所有入侵的 79%。
網絡釣魚攻擊如何開始
網絡釣魚這個術語在 1994 年首次被使用,當時一群青少年努力在 AOL 上從無戒心的用戶手中獲取信用卡號碼。
自此以後,歹徒陸續發明了新方法去搜集上網人士的資料,到 2000 年代中期,其他術語如魚叉式網絡釣魚和網絡捕鯨,都相繼出現來描述專門針對行政人員或高度授權人士的攻擊。
到 2010 年代,網絡釣魚攻擊並非只是透過電郵或聊天室進行,歹徒會使用多個平台,包括流動裝置、社交媒體及訊息應用程式。
今日,歹徒利用人工智能來製作訊息,包括電話及影片,看起來更可信、修正文法及拼寫錯誤、從社交媒體收集數據來個人化訊息,並翻譯成任何目標語言。他們還可以創建深偽:超現實的音訊和影片內容,其中人工智能經常被用於捕捉某人的聲音或圖像。
網絡釣魚如何運作?
通常,用於發起網絡釣魚攻擊的訊息都被製作成看似緊急,需要快速回應。例如,它可能提示收件人點擊連結或發送敏感資料,以避免帳戶被停用。如果用戶完成操作,他們的數據會版歹徒取得,或惡意軟件會下載到他們的電腦。網絡釣魚訊息是蓄意及難以察覺的,因為它們利用官方標誌、網址及其他功能模仿合法訊息的外觀及感覺。
雖然大部份網絡釣魚訊息都來自銀行等已知及可信賴的來源,但發件人有時卻是個陌生人,就如早期網絡釣魚攻擊一樣,它被稱作「尼日利亞王子」詐騙。受害人收到了聲稱是富裕皇室成員或官員的電郵,他們需要幫助將資金轉移到國外,如果收件人向他們發送金錢或個人資料,他們承諾會獲得重大的回報。這策略今天仍然盛行。
網絡釣魚的技術層面
雖然網絡釣魚攻擊可能和欺詐電郵一樣簡單,但多年來,有許多精密的技巧令訊息更令人信服,並更有效獲取資訊:
- 偽冒網域:偽冒電郵或網站,使其看起來像是真實的網域,例如使用類似 URL 或錯別字的網域(拼寫錯誤或略有不同的合法網站名稱)。
- 虛假網站:設立一個欺詐網站,以模仿真正的網站。
- 電郵詐騙:偽造寄件人的電郵地址,令訊息看起來像是來自真實機構。
- 假 SSL 憑證:使用被盜或欺詐性的安全憑證來確保網站安全,通常顯示人們熟悉的掛鎖符號。
- 虛假/惡意登入頁面:利用真實登入表格的副本來獲取受害者用戶名稱及密碼。
- 惡意連結:將惡意程式傳送至網絡釣魚頁面或將用戶重新導向至網絡釣魚頁面的網址。
- 抓取聯絡人:用於收集數據的各種技術,例如電郵地址、員工姓名或個人資料,以建立目標清單或個人化訊息。
- DNS 快速流量技術:迅速轉移惡意網域使用的 IP 位址來避免被偵測。
網絡釣魚與其他網絡攻擊有何不同?
其他常見的網絡攻擊是惡意程式及垃圾郵件。以下是網絡釣魚的不同之處:
- 惡意程式是一項技術威脅,可以安裝在系統上而無須受害者回應欺詐訊息。網絡釣魚可以用來傳送惡意程式,但兩者卻有所不同。
- 垃圾郵件是指未經請求的大量訊息,例如不需要的廣告或內容,而與網絡釣魚不同,垃圾郵件並不包括假冒或社交工程。
網絡釣魚攻擊的類型
隨着許多媒介都被歹徒入侵,今日也有許多釣魚攻擊:
- Angler/社交媒體釣魚:歹徒在社交媒體平台透過私訊接觸受害者來啟動社交媒體釣魚。
- 應用程式/應用程式內釣魚:假登入畫面或惡意彈出訊息會出現在合法的應用程式內。
- 商務電郵詐騙:這種高度破壞性的企業網絡釣魚形式可能利用入侵員工電郵帳戶來發送訊息,或讓網絡罪犯冒充行政人員或供應商要求將款項轉帳至欺詐帳戶。有時商務電郵詐騙會是源於內部的,而公司內部人士會利用被盜的憑證來登入內部付款系統及轉移資金。
- 複製網絡釣魚:之前收到的可信真實訊息會再次發送,並附上惡意連結或危險附件。由於收件人信任初始訊息,他們更有可能相信並回應後續訊息。
- 電郵釣魚:黑客會發送一封看似合法的電郵,以引起關注、憂慮或誘惑,並提示收件人點擊連結或分享個人資料。儘管網絡罪犯可利用多個新平台,但電郵釣魚仍然最為普遍。其中一個原因是相同的訊息可以單獨發送給很多人,增加成功的機會。
- 二維碼釣魚/二維碼詐騙:二維碼詐騙是一種網絡釣魚變種,當被二維碼引導致惡意網站時,用戶的憑證可能會被擷取。
- 短訊釣魚:網絡罪犯會發送文字訊息(短訊),要求收件人點擊連結或撥打電話給寄件人,導致短訊釣魚。
- 魚叉式網路釣魚:黑客向機構或個人發送針對性電郵。通常,財務部門因他們對敏感數據擁有特權存取或權限而被針對。網絡罪犯可能會收集或購買目標的資料,令訊息更具體及更可信。
- 語音釣魚:語音釣魚就是攻擊者致電固網電話、手機或 VoIP 電話,以讓用戶參與對話。
- 網絡捕鯨:網絡捕鯨與魚叉式網絡釣魚類似,但通常以高級行政人員為目標。
識別網絡釣魚企圖
隨著網絡釣魚的普及,所有員工都必須留意網絡釣魚訊息的跡象,包括:
- 可疑的發件人地址,例如 accounts.paypal@gmail.com,它在電郵名稱中使用paypal,但實際上是 gmail 電郵地址。
- 訊息中的拼寫錯誤或語法錯誤。
- 緊急呼籲採取行動、威脅或要求取得個人資料。
- 網站或電郵簽名中沒有聯絡資訊。
- 優惠好得令人難以置信。
- 沒有個人名字的電郵,例如「親愛的女士」。
- 縮短連結。
- 不相符的域名,電郵地址末端與官方網站不符,例如 name@amaz0n.com 而非 name@amazon.com,留意 o 已被換成零。
- 未預期的檔案類型附件,尤其是 .exe 或 .zip。
成功釣魚攻擊的案例研究
近年來,有幾宗釣魚活動值得注意:
- Google Docs 網絡釣魚(2017 年):受害者收到電郵,要求他們允許存取看似是 Google Doc 但其實是假的 OAuth 應用程式。當用戶授予存取權限時,攻擊者可以存取用戶的 Gmail 聯絡人,並將訊息發送給更多受害者。
- PayPal 網絡釣魚詐騙(正持續):不良行為者會發送看似 PayPal 官方訊息的電郵,警告可疑活動或帳戶問題。當收件人點擊連結時,就會進入虛假登入頁面,當中的憑證及財務資料會被竊取。
- Office 365 憑證攻擊(2019 年至今):電郵看似來自 Microsoft 的通知,通常針對企業。他們可能聲稱收件人的密碼已經過期,或者他們有新的語音郵件,連結會連上假冒登入入口網站,該網站會擷取企業憑證以用於商務電郵詐騙攻擊。
防範網絡釣魚攻擊
雖然網絡釣魚是無處不在的,但個人和機構有許多方法可以保護自己和企業。
個人最佳做法
- 在回覆前仔細檢查電郵。檢查拼寫或語法錯誤,避免透過電郵分享財務或個人資料。細心思考是否要打開電郵附件。您是否預期收到發件人的附件? 如果沒有,請直接詢問他們。
- 在點擊前檢查網址,避免點擊來自未知來源的連結。將鼠標懸停在連結上,看看它是否看似合法並以「https」開始,表示它是一個安全的網站。避免點擊縮短的網址,例如 bit.ly
- 在將敏感資料輸入網站前,請查看頁面頂部的網址,確認這是否正確的網站。亦要確認在網址中是否多了一些字母,包括有否將字母 O 改為數字 0,它是否從 https 開始?
- 隨時更新保安軟件、應用程式、裝置及瀏覽器。
- 使用防火牆及防毒、反惡意程式及反網絡釣魚工具。
- 經常更改密碼,並使用接近或超過 20 個字元的密碼。在密碼中包括大寫、小寫、數字或符號。切勿在多個網站或應用程式重複使用相同的密碼。如果您在追蹤密碼時遇到問題,請建立一個長密碼,然後鎖起密碼管理器中的其他密碼。
- 在您的帳戶啟用雙重認證。
- 使用安全的通訊平台。
- 細心思考是否點擊朋友的貼文,假如其內容好到難以置信,那就一定有問題。在回應朋友表示出現難題並要求金錢援助的貼文前,應想想這是否您們慣常的溝通方式。
- 細心思考是否點擊彈出的訊息或彈窗廣告。
- 除非是您信任的人,否則切勿提供個人資料。
機構最佳實務守則
- 使用電郵閘道來阻截垃圾電郵及移除包含可疑連結及附件的電郵。
- Gartner 建議:「利用電郵保安方案的機器學習功能來識別人工智能產生的網絡釣魚及量化嘗試。」這些工具有助偵測傳統過濾器可能錯過的精密攻擊。
- 使用 DMARC 電郵認證工具來防止歹徒利用假的發件者身份發出電郵。
- 投資於執行惡意網址偵測及內容過濾的網站過濾工具。
- 安裝用戶端防護方案來保護企業的裝置。
- 使用人工智能過濾方法識別商務電郵。
- 採用整合所有服務的保安方案來防護源自機構內部的釣魚攻擊。
- 透過定期模擬釣魚攻擊及培訓,確保員工了解釣魚攻擊的危險性。
如果您遇到網絡釣魚該怎麼辦
如果您或您的機構對網絡釣魚感到困惑,請務必迅速採取行動:
- 檢查財務帳戶是否有可疑或意外活動。
- 更改密碼並啟用雙重認證。
- 執行保安掃瞄,並安裝或更新防毒及反惡意程式軟件。
- 通知相關機構,可能包括銀行、社交媒體平台、ISP、資訊科技部門及財務部門。
- 向聯邦貿易委員會(FTC)及反網絡釣魚工作小組報告攻擊。
- 向 Equifax、Experian 或 TransUnion 等信用報告機構登記,以繼續防止身份盜竊。
我可以在哪裡獲得防範網絡釣魚攻擊的協助?
網絡釣魚仍然是最有效及昂貴的入侵方式之一。隨著社交工程技巧的演進,傳統的電郵過濾及被動式防護根本還不夠。保安團隊需要一些工具來了解人類行為、偵測微妙的異常情況及在威脅到達收件匣前早阻截威脅。這就是現代化、人工智能驅動的電郵及協同作業保安的應用。
Trend Vision One™ – Email and Collaboration Security 協助機構主動管理人身風險及防範今日最進階的網絡釣魚威脅。它並非只依賴靜態規則或特徵偵測,而是將人們置於網絡保安的中心,分析通訊模式、用戶行為、電郵意圖及情境訊號,以發掘隱藏在可信賴關係中的攻擊。
產品管理副總裁 Scott Sargeant 是一名經驗豐富的技術領導廠商,擁有 25 年以上的經驗,一直在網絡資訊保安和資訊科技領域提供企業級解決方案。
常見問題
網絡釣魚攻擊是否對中小企的影響與大型企業不同?
網絡釣魚攻擊通常會導致中小企蒙受更大的財務損失、停機時間及聲譽受損,因為它們的網絡保安資源並不相同。
網絡釣魚與網絡釣魚有何分別?
網絡釣魚會誘騙受害者分享敏感資料。網絡釣魚會將用戶從真實網站秘密重新導向至欺詐網站。
網絡釣魚攻擊能否繞過雙重認證?
是。網絡釣魚套裝有可能捕捉一次性代碼或使用反向代理程式入侵登入工作階段,基本上繞過 2FA。
甚麼是真實世界的網絡釣魚電郵?
Amazon 發來的假電郵顯示您的帳戶已被暫停,並要求您點擊連結以驗證帳戶是網絡釣魚的例子。
網絡罪犯如何利用人工智能或深層假冒來釣魚?
歹徒利用人工智能來撰寫有針對性、可信的訊息,或製作看似及聽起來像收件人認識的人的深層虛假語音或影片。
網絡釣魚攻擊最針對哪些行業?
網絡釣魚攻擊最針對的行業包括金融服務、醫療保健及零售業,因為它們可儲存大量客戶資料及付款資料。
流動裝置用戶如何保護自己免受網絡釣魚攻擊?
流動裝置用戶應驗證訊息發件人、使用流動安全應用程式、更新裝置及瀏覽器,並避免點擊可疑連結。
機構偵測網絡釣魚攻擊需要多長時間?
由於網絡釣魚通常只會在濫用憑證或發現可疑活動後才明顯出現,因此可能需要數星期或數月才能偵測網絡釣魚攻擊。
網絡釣魚攻擊者有甚麼法律後果?
網絡釣魚攻擊者的法律後果包括罰款、監禁、資產被扣押,甚至外判。
DNS 保安在防止網絡釣魚中扮演甚麼角色?
DNS 防護能防止用戶連上已知的惡意網域或假冒網站,並支援 DMARC、SPF 及 DKIM 等認證協定來驗證寄件人。