網路釣魚一般是指駭客利用電子郵件來騙取使用者或企業資訊的社交工程技巧,網路釣魚攻擊之所以能夠得逞,大多是因為使用者沒有意識到自己遇到了網路釣魚。
網路釣魚是一種興起於 1990 年代中期的攻擊手法,一開始是有一群年輕人利用美國線上 (AOL) 的聊天室功能來假冒 AOL 系統管理員。他們竊取其他使用者的信用卡卡號來讓他們永久免費使用 AOL 服務。
AOL 提供了一個「新會員聊天室」的功能來讓使用者到聊天室尋求使用上的協助。這群駭客創了一些看似 AOL 系統管理員的帳號 (如「BillingAccounting」),然後告訴使用者說他們的帳號發生問題。
使用者被要求提供信用卡卡號來解決這些問題,這群不肖的駭客就拿這些信用卡來支付他們自己的帳號費用。雖然「網路釣魚」一詞當初創造出來時是指類似這樣的攻擊,不過時至今日,它主要已經變成了電子郵件詐騙的代名詞。就這樣,網路釣魚詐騙一直持續至今,而且隨處可見。根據 Verizon 2021 年資料外洩調查報告 (Data Breach Investigations Report,簡稱 DBIR) 指出,36% 的資料外洩都是因網路釣魚而引起。
既然網路釣魚主要仰賴的是社交工程技巧,那麼很重要的一點就是,所有使用者都應了解駭客如何利用人性的弱點。首先,社交工程技巧是一種駭客用來說服使用者做某些動作的騙術,使用者在平常的時候通常不會做這些事。
社交工程技巧有時很單純,例如故意假裝手上拿滿了東西來讓人家主動開門。還有一種類似的社交工程技巧是故意將一個 USB 隨身碟遺落在停車場,隨身碟上還貼著「家庭生活照」的標籤。但這個 USB 隨身碟很可能暗藏惡意程式,一旦插入電腦,惡意程式就會自動安裝到電腦上,如此就能駭入電腦。這就是所謂姜太公釣魚,願者上鉤。
目前,網路釣魚主要是指一般的電子郵件攻擊,駭客會盡可能大量散發這類電子郵件,並經常假冒一些常見的服務或機構,如:PayPal 或美國銀行 (Bank of America)。
這類電子郵件會謊稱他們懷疑您的帳號遭人盜用,要求您點選郵件內的連結來確認帳號的合法性。這個連結通常有兩種作用:
這些年來,網路釣魚已經發展出針對各種不同資料的攻擊,除了錢之外,駭客的目標也可能是一些機敏資料或是照片。
網路釣魚攻擊包含了一些駭客用來誘騙您上當的動作,網路釣魚郵件詐騙通常很容易辨認,因為其電子郵件的內容經常會出現句法和錯字的問題。不過駭客在技術上已經相當純熟,而新的攻擊通常會利用人類情緒上的弱點來吸引您,例如:恐懼、憤怒和好奇心。
2011 年的 RSA 攻擊事件,駭客只攻擊了該機構中的 4 名人員。其電子郵件並不複雜,但它之所以能夠成功,就是因為它鎖定了適當的對象。這封標題為「2011 Recruitment plan.xls」的電子郵件是專為吸引其鎖定的對象而設計,對該機構的其他人就不一定有什麼吸引力。
網路釣魚攻擊的類型有很多,包括:傳統的電子郵件攻擊、社群媒體攻擊,以及一些名稱稀奇古怪的攻擊,例如:網路釣魚簡訊 (Smishing) 和網路釣魚電話 (Vishing)。
網路釣魚簡訊是一種經由行動裝置的攻擊。今日行動裝置的銷售量遠勝過個人電腦,因此駭客也聚集到這個平台來竊取個人資料。網路釣魚簡訊攻擊通常會先發送一封簡訊到您的手機,說您的帳號發生某些問題,並附上一個電話號碼讓您回撥來解決這些問題。當您回撥時,另一頭通常會是駭客親自接聽,或者他們會聘請一些「員工」來幫他們從事詐騙。
如果您沒有回撥,駭客也可能親自打電話來通知您「帳號已經遭駭客攻擊,必須提供一些帳號細節來解決這項問題。」 駭客通常會撥打很多的電話來提高成功率,這就是所謂的網路釣魚電話 (Vishing)。
進一步了解網路釣魚簡訊 (Smishing)。
社群媒體已經成為我們數位生活當中的重要一環,所以駭客才有辦法輕易利用它來從事網路釣魚詐騙。Facebook 上常見的一種網路釣魚詐騙就是張貼一些「優惠」或「好康」訊息給好友,內含一些可以點選的連結。為了執行這類詐騙,駭客必須先進入您的帳號。
這對許多帳號來說其實不難,因為,假使有某家公司的線上伺服器遭駭客入侵而導致使用者帳號密碼資料外洩,那麼駭客就會利用這些電子郵件帳號跟密碼的組合來試圖登入像 Facebook 或 LinkedIn 這類常用的社群媒體平台。
進一步了解社群媒體網路釣魚。
當使用者越來越了解網路釣魚的攻擊手法之後,駭客便開發出這種新的攻擊技巧。網址嫁接攻擊主要是駭入您電腦上的網域名稱系統 (DNS) 快取,這通常是透過偷渡式下載 (drive-by download) 的方式。
當您正在瀏覽網站而到處點選時,駭客就在背後悄悄利用網站的資安漏洞,駭客可輕鬆修改網站的 HTML 檔案,讓您在瀏覽或點選到網站時,自動下載一些資訊。
既然您已經不再輕易點選郵件中的連結,駭客就等待您自投羅網,自己去連上網路銀行。此時,若您的 DNS 快取已遭到駭客篡改,您就會被帶到駭客仿冒您的銀行網站所製作的網站。當您輸入自己的使用者 ID 跟密碼時,駭客就會拿到您的登入憑證,進而登入您的銀行帳號將錢偷走。
您可以採取一些步驟來保護自己:
除了上述針對一般個人的建議之外,企業還應做好以下幾點: