甚麼是釣魚攻擊?

釣魚攻擊是黑客利用社交工程技巧,透過電郵竊取個人或公司資料的手法,它有效的原因就是能在用戶不知情之下進行。

釣魚攻擊

釣魚攻擊在 90 年代中已經開始存在,當時一群青少年決定利用 AOL 聊天室的功能來假冒是 AOL 的管理員。他們竊取其他用戶的信用卡號碼來讓他們永久免費使用 AOL 服務。

AOL 提供了一個「新會員聊天室」的功能來讓用戶到聊天室尋求使用上的協助。這群黑客創立了一些看似 AOL 系統管理員的帳號 (如「BillingAccounting」),然後告訴用戶說他們的帳號發生問題。

用戶需要提供信用卡號碼來解決問題,而黑客們就可以從中取得信用卡資料來為自己付費。釣魚攻擊這個名詞亦在此時被創造出來。今天,釣魚攻擊主要與電郵詐騙有關,並持續盛行。根據 Verizon 2021 Data Breach Investigations Report (DBIR) 報告指出,36% 的入侵活動都涉及釣魚攻擊。

釣魚攻擊主要依賴社交工程進行,因此所有用戶都要了解攻擊者如何利用人性弱點來進行攻擊。首先,黑客會利用社交工程來說服用戶做出一些他們平常不會做的行為,

就像簡單的要求一個人將大門打開一樣。同樣地,另一個社交工程案例就是將標示為「家庭照片」的 USB 手指掉在停車場,如果有人拾到 USB 手指及將它插入電腦,其內的惡意程式就會安裝在電腦內,從而侵入電腦。很明顯這是一個誘餌。

釣魚攻擊很多時都與一般的電郵攻擊有關,攻擊者會假冒如 PayPal 或美國銀行等大型機構,向大量電郵戶口發出電郵。

電郵會表示有關帳號已經被入侵,而用戶需要馬上點擊連結來確認帳號的合法性。此連結通常作出以下兩項行動的其中一樣,亦有可能同時作出兩項行動:

  1. 引導用戶至一個看來像真正網站一樣的惡意網站,例如 www.PayPals.com,而真正的網站應為 www.PayPal.com,不同之處就是在網址上多了一個「s」。在引導用戶至惡意網站後,歹徒在用戶嘗試登入時就可以取得用戶的帳號及密碼,

    並可利用這些資料登入用戶的銀行戶口及將金錢轉數至任何地方。另一方面,歹徒所取得的密碼更可能被用於該用戶的其他所有帳號,例如 Amazon 或 eBay。
  2. 利用下載的惡意程式感染用戶的電腦,並將被用於日後的攻擊。這個惡意程式可能是可以盜取登入訊息或信用卡號碼的鍵盤監聽程式,也可能是會加密硬碟及要求以比特幣支付贖金的勒索程式。

    另一個極為可能的用途就是利用受感染電腦進行比特幣挖礦活動,因為即使用戶並不在使用電腦,這挖礦活動仍然可以繼續,有時甚至可以將 CPU 的部份功能鎖定作挖礦之用。在黑客進行挖礦的同時,用戶電腦的效能表現將會被拖慢。

多年來釣魚攻擊已進化至包含針對不同種類資料的攻擊,除了金錢外,歹徒也會針對敏感資料或照片。

釣魚攻擊

釣魚攻擊是黑客入侵用戶的手段,可能包括單一或是一連串的行動。電郵釣魚一般都因為其內容的文法錯漏百出及錯字眾多而很容易被識別,但攻擊者也在不斷改善及採取更尖端的技術來犯案。然而很多簡單的攻擊依然會取得成效,他們都會利用人類的感情,包括控制慾、怒火及好奇心來誘騙用戶。

在 2011 年對 RSA 的攻擊只是針對了機構內四名人員,而用作攻擊的電郵並不複雜,但卻因針對了特定人員而取得成功,這電郵包含一個名為「2011 招聘計劃」的 Excel 檔案附件,並成功引起了這些人的興趣。

釣魚攻擊種類

釣魚攻擊的種類繁多,包括傳統的電郵攻擊、社交媒體攻擊及名稱稀奇古怪的攻擊,例如短訊釣魚和語音釣魚。

  • 釣魚攻擊(Phishing)——通常以電郵進行
  • 魚叉式釣魚(Spearphishing)——目標明確的電郵攻擊
  • 網絡捕鯨(Whaling)——非常具針對性的電郵攻擊,通常針對行政人員
  • 內部釣魚(Internal Phishing)——源自機構內部的釣魚攻擊
  • 語音釣魚(Vishing)——利用電話進行的攻擊
  • 短訊釣魚(Smishing)——利用短訊進行的攻擊
  • 社交媒體釣魚(Social Media Phishing)——利用 Facebook 及其他社交媒體貼文進行的攻擊
  • 網址嫁接(Pharming)——入侵 DNS 的緩衝記憶體
     

內部釣魚

內部釣魚已漸漸引起機構的關注。情況是機構內一個受信任的用戶將釣魚電郵發送給同一機構內的其他人,由於信任原本的發信人,收件者點擊電郵內連結、打開附件或作出回應的機會都會大為增加。

要發出此類內部釣魚電郵,攻擊者需要掌握用戶的憑證以控制其電郵戶口。其他控制手法包括實體控制,即是取得遺失或盜竊的裝置,或是透過在裝置上的惡意程式進行。內部釣魚電郵通常是一個多階段攻擊的一部份,最終目的可能是以勒索程式詐取金錢,或是盜竊財務資料與知識產權。

短訊釣魚

短訊釣魚是利用流動裝置進行的獨特攻擊。今時今日,流動裝置的銷售量已經超越個人電腦,黑客亦轉而利用此平台盜竊個人資料。他們會發出短訊予手機用戶,謊稱他們的帳號出現問題,並要求用戶致電以解決問題。假如用戶致電回覆,就會有真正的歹徒或其聘請的「員工」來回應電話。

假如用戶沒有因短訊而上當,歹徒會致電用戶:「您的戶口已被攻擊,您需要確認戶口資料以解決事件。」 歹徒的成功率視乎打出電話的數量而定,這就是語音釣魚攻擊。

了解短訊釣魚

社交媒體釣魚

社交媒體已成為網上世界的主要部份,而黑客也會利用它來針對用戶。其中一個在 Facebook 常見的攻擊,就是在朋友的帳號上貼文說某種貨品大減價,以吸引其他人點擊這個大減價連結。要進行這類攻擊,黑客先要取得一個帳戶的登入權限,

而這亦很容易進行。因為假如有公司的網上伺服器被入侵並導致密碼洩漏,黑客會使用所洩漏的電郵及密碼組合來嘗試登入 Facebook 及 LinkedIn 等常用平台。

了解社交媒體釣魚

網址嫁接

隨著用戶的知識水平提高及不再容易墮入網絡釣魚陷阱,歹徒也創造了新的攻擊手法。網址嫁接入侵用戶電腦上域名系統(DNS)的緩衝記憶體,這通常以路過式下載方式進行。

在用戶瀏覽網站及點擊連結時,攻擊者會利用網站通常保安不足情況進行攻擊。他們很容易的就可以修改網站的 HTML 文本,在用戶進入或點擊網站時下載其資訊。

假如用戶沒有點擊一個關於銀行戶口已被入侵的電郵內的連結,黑客只須等待用戶登上銀行網站,被修改的 DNS 緩衝記憶體資料會將用戶轉接至黑客假冒的銀行網站。當受害者鍵入用戶名稱及密碼後,黑客就可以取得他的銀行戶口資料,登入其銀行戶口及為所欲為。

如何預防釣魚攻擊?

我們有很多獨特方法可以保護自己:

  • 在可行情況下在所有帳號啟動雙重認證
  • 採用反惡意程式軟件
  • 採用防火牆
  • 小心留意彈出及彈入底部的訊息
  • 小心電郵附件,無論是來自認識還是不認識的來源
  • 小心要求您點擊至其他地方或要求個人資料的文字或即時訊息,無論是來自認識還是不認識的來源
  • 切記不要向任何人提供您的個人資料

除了以上員工建議外,機構亦應:

  • 在閘道端過濾釣魚電郵及惡意網站交通流量
  • 利用 DMARC 認證電郵發件者
  • 以發件人及內容為基過濾釣魚電郵,並利用固態及動態技術來分析網址及附件的惡意內容
  • 採用含人工智能的進階過濾技術以識別商務電郵詐騙電郵及竊取憑證攻擊
  • 利用 API 將整合服務的保安方案結合至雲端及駐場電郵平台,以預防內部釣魚攻擊,包括 Microsoft Office 365、Google G Suite、Microsoft Exchange Server 及 IBM Domino server

相關資料

相關研究