甚麼是網絡釣魚攻擊?

網絡釣魚攻擊是透過採用社交工程技術精心設計的電郵,盜竊用戶或機構資料的藝術。攻擊越精密,用戶發現自己受害的機率就更低。

網絡釣魚

網絡釣魚攻擊在 90 年代中已經開始存在,當時一群青少年決定利用 AOL 聊天室的功能來假冒是 AOL 的管理員。他們希望能經常登入 AOL,因此他們需要找到一些信用卡號碼。

AOL 的「新會員聊天室」讓用戶可以登入來尋求協助,而黑客 Da Chronic 及他的朋友就建立了一個看來很像 官方 AOL 管理員頁面「BillingAccounting」,並通知用戶他們的帳號出現問題。

用戶需要提供信用卡號碼來解決問題,而黑客們就可以從中取得信用卡資料來為自己付費。網絡釣魚這個名詞亦在此時被創造出來。今天,網絡釣魚主要與電郵詐騙有關,並持續盛行。事實上,90% 的入侵活動都源於它們。

網絡釣魚主要依賴社交工程進行,因此所有用戶都要了解攻擊者如何利用人性弱點來進行攻擊。首先,黑客會利用社交工程來說服用戶做出一些他們平常不會做的行為,

就像簡單的要求一個人將大門打開一樣。另一個社交工程案例就是將標示為「家庭照片」的 USB 手指掉在停車場,

如果有人拾到手指及將它插入電腦,其內的惡意程式就會安裝在電腦內。很明顯這是一個誘餌。

網絡釣魚很多時都與一般的電郵攻擊有關,攻擊者會假冒如 PayPal 或美國銀行等大型機構,向大量電郵戶口發出電郵。

電郵會表示有關帳號已經被入侵,而用戶需要馬上點擊連結來確認是否一切如常。此連結通常作出以下兩項行動的其中一樣,亦有可能同時作出兩項行動:

  1. 引導用戶至一個看來像真正網站一樣的惡意網站,例如 www.PayPals.com,而真正的網站應為 www.PayPal.com,分別就是在網址上多了一個「s」。在引導用戶至惡意網站後,歹徒在用戶嘗試登入時就可以取得用戶的帳號及密碼,

    並可利用這些資料登入用戶的銀行戶口及將金錢轉數至任何地方。另一方面,歹徒所取得的密碼更可能被用於該用戶的其他所有帳號,例如 Amazon 或 eBay。
  2. 利用下載的惡意程式感染用戶的電腦,並將被用於日後的攻擊。這個惡意程式可能是可以盜取登入訊息或信用卡號碼的鍵盤監聽程式,也可能是會加密硬碟及要求以比特幣支付贖金的勒索程式。

    另一個極為可能的用途就是利用受感染電腦進行比特幣挖礦活動,因為即使用戶並不在使用電腦,這挖礦活動仍然可以繼續,有時甚至可以將 CPU 的部份功能鎖定作挖礦之用。在黑客進行挖礦的同時,用戶電腦的效能表現將會被拖慢。

多年來網絡釣魚已進化至包含不同種類的攻擊,黑客會盡其所能取得回報,而這回報通常是金錢。

網絡釣魚攻擊

網絡釣魚攻擊是黑客入侵用戶的手段,可能包括單一或是一連串的行動。傳統的電郵釣魚一般都因為其內容的文法錯漏百出及錯字眾多而很容易被識別,

但攻擊者也在不斷改善及採取更尖端的技術來犯案。很多簡單的攻擊依然會取得成效,他們都會利用人類的感情,包括控制慾、怒火及好奇心來誘騙用戶。

在 2011 年對 RSA 的攻擊只是針對了公司內四名人員。用作攻擊的電郵並不複雜,但卻因針對了特定人員而取得成功,因為其內容引起了這些人的興趣。這電郵包含一個名為「2011 招聘計劃」的 Excel 檔案附件。

進一步了解

網絡釣魚種類

釣魚攻擊的種類繁多,包括傳統的電郵攻擊、社交媒體攻擊及獨特的短訊釣魚和語音釣魚。網絡釣魚都基於人類易於輕信別人的心理而犯案。

  • 網絡釣魚——通常以電郵進行
  • 魚叉式釣魚——目標明確的電郵攻擊
  • 網絡捕鯨——非常具針對性的電郵攻擊,通常針對行政人員
  • 內部釣魚——源自機構內部的網絡釣魚攻擊
  • 語音釣魚——利用電話進行的攻擊
  • 短訊釣魚——利用短訊進行的攻擊
  • 社交媒體釣魚——利用 Facebook 及其他社交媒體貼文進行的攻擊
  • 網址嫁接——入侵 DNS 的緩衝記憶體
     

進一步了解

內部釣魚

內部釣魚已漸漸引起機構的關注。情況是機構內一個受信任的用戶將釣魚電郵發送給同一機構內的其他人,由於信任原本的發信人,收件者點擊電郵內連結、打開附件或作出回應的機會都會大為增加。

要發出此類內部釣魚電郵,攻擊者需要取得用戶的憑證以控制其電郵戶口。其他控制手法包括實體控制,即是取得遺失或盜竊的裝置,或是透過在裝置上的惡意程式進行。內部釣魚電郵通常是一個多階段攻擊的一部份,最終目的可能是以勒索程式詐取金錢,或是盜竊財務資料與知識產權。

短訊釣魚

短訊釣魚是利用流動裝置進行的獨特攻擊。今時今日,流動裝置的銷售量已經超越個人電腦,黑客亦轉而利用此平台盜竊個人資料。他們會發出短訊予手機用戶,謊稱他們的帳號出現問題,並要求用戶致電以解決問題。

假如用戶致電回覆,就會有真正的黑客接聽電話,用戶不會需要在電話上作不同選項或是要排隊等候與人通話,因為黑客會成立公司及招聘充足人手來回應電話。

假如用戶沒有因短訊而上當,黑客會致電用戶:「您的戶口已被攻擊,您需要確認戶口資料以解決事件。」 假如黑客打出足夠數量的電話,終會有人會接聽電話。這就是語音釣魚攻擊。

了解短訊釣魚

社交媒體釣魚

社交媒體已成為網上世界的主要部份,而黑客也會利用它來針對用戶。今天,社交媒體的選擇很多,包括 Facebook、LinkedIn、Instagram 以及其他很多平台,而黑客也會利用這些平台來製造麻煩。

其中一個在 Facebook 常見的攻擊,就是在朋友的帳號上貼文說某種貨品大減價,例如是高檔太陽眼鏡,以吸引其他人點擊這個大減價連結。

要進行這類攻擊,黑客先要入侵一個 Facebook 帳戶,而這亦很容易進行。因為假如有公司的網上伺服器被入侵並導致密碼洩漏,黑客會使用所洩漏的電郵及密碼組合來嘗試登入 Facebook 及 LinkedIn 等常用平台。

了解社交媒體釣魚

網址嫁接

隨著用戶的知識水平提高及不再容易墮入網絡釣魚陷阱,攻擊者也創造了新的攻擊手法。網址嫁接入侵用戶電腦上域名系統(DNS)的緩衝記憶體,這通常以路過式下載方式進行。

在用戶瀏覽網站及點擊連結時,攻擊者會利用網站常見的保安不足情況進行攻擊。他們很容易的就可以修改網站的 HTML 文本,在用戶進入或點擊網站時下載其資訊。

例如,假如用戶沒有點擊一個關於銀行戶口已被入侵的電郵內的連結,黑客只須等待用戶登上銀行網站,被修改的 DNS 緩衝記憶體資料會將用戶轉接至黑客假冒的銀行網站。當受害者鍵入用戶名稱及密碼後,黑客就可以取得他的銀行戶口資料,登入其銀行戶口及為所欲為。

如何預防網絡釣魚?

我們有很多方法可以保護自己:

  • 在可行情況下在所有帳號啟動雙重認證
  • 採用反惡意程式軟件
  • 採用防火牆
  • 小心留意彈出及彈入底部的訊息
  • 小心電郵附件,無論是來自認識還是不認識的來源
  • 小心要求您點擊至其他地方或要求個人資料的文字或即時訊息,無論是來自認識還是不認識的來源
  • 切記 不要交出您的個人資料,除非您有很好的原因要這樣做

除了以上員工建議外,機構亦應:

  • 在閘門端過濾釣魚電郵及惡意網站交通流量
  • 利用 DMARC 認證電郵發件者
  • 以發件人及內容為基過濾釣魚電郵,並利用固態及動態技術來分析網址及附件的惡意內容
  • 採用含人工智能的進階過濾技術以識別商務電郵詐騙電郵及竊取憑證攻擊
  • 利用 API 將整合服務的保安方案結合至雲端及駐場電郵平台,以預防內部釣魚攻擊,包括 Microsoft Office 365、Google G Suite、Microsoft Exchange Server 及 IBM Domino server

網絡釣魚議題