甚麼是釣魚攻擊?

釣魚攻擊是歹徒試圖欺騙受害者以取得敏感資料的手法,其目標為竊取帳號登入資料、信用卡號碼及其他敏感的公司資料。它亦可能嘗試以惡意程式感染您的電腦。

甚麼是釣魚攻擊?

釣魚攻擊是指利用已連繫裝置試圖進行盜竊的行為。這些行動可以是手動的或是利用工具將程序自動化,亦可以把兩者結合,先利用文本工具為黑客打開大門,然後再手動進行攻擊。

「釣魚攻擊」這名稱在 1994 年出現,當時一群反叛青年以手動方式從不知情的 AOL 用戶盜竊信用卡資料。到 1995 年,他們更創造了一個名為 AOHell 的程式來將工序自動化。

自此以後,歹徒繼續發明了新方法去搜集上網人士的資料,很多由他們創造的惡意程式到今天仍在使用。事實上,其中有些工具是創造來作合法用途的,例如獲授權進行入侵行動的滲透測試,但當一個創造來作良好用途的工具面世後,歹徒都會有方法將它作惡意用途。

多年以來,歹徒創造了很多專門作釣魚攻擊用途的惡意程式,其中 PhishX 就是設計來盜竊銀行資料。利用 PhishX,歹徒會架設一個像真度極高的偽冒銀行網站,其內包括他們的電話號碼及電郵地址,而點擊「聯絡我們」更讓您可以直接與黑客溝通。

名為 Phishing Frenzy 的釣魚電郵工具原本是設計來作滲透測試用途,但這個容易使用的工具卻被黑客用作犯案之用。

另一個名為 Swetabhsuman8 的釣魚工具讓攻擊者可以架設虛假的登入版面來入侵 Instagram 帳號的。當用戶嘗試登入時,黑客就可以搜集用戶帳號及密碼,

黑客不單會架設虛假網站、電郵釣魚工具及偽造的登入版面來盜取資料,他們也會設立電話中心來接聽來電。假如受害者致電在電郵、偽冒網站或是文字訊息上的電話號碼,歹徒就會接聽電話。

現今的歹徒都會針對較大型企業以達致最高效益,他們會花大量時間征服受害機構網絡的每一部份,然後才會發動勒索程式攻擊。而這類多段式攻擊一般都由一個釣魚電郵開始。

釣魚攻擊例子

釣魚攻擊的種類繁多,其中最為人熟識的是釣魚電郵。而隨著魚叉式釣魚、網絡捕鯨及鐳射導航攻擊的出現,此類攻擊亦已日趨精密,並由電郵擴散至其他通訊平台,包括文字訊息及社交媒體。

釣魚攻擊包括:

  • 電郵釣魚——黑客發出包含連結的電郵,並利用收件者的不安、擔心或好奇心 來誘導他們點擊連結。
  • 語音釣魚——黑客會撥打傳統電話、手機甚至 VoIP 電話,嘗試與用戶對話。
  • 短訊釣魚——黑客會發出文字短訊要求用戶點擊連結或致電黑客。
  • 網址嫁接——這是在用戶了解不應點擊電郵內連結後出現的攻擊,它會包含一個惡意網址,並期望受害者會複製和在瀏覽器貼上這個網址。網址嫁接攻擊會入侵可以引領用戶到正確網站的域名系統 (DNS)本機緩衝記憶體,令用戶最终登入了黑客的偽冒網站。最終受害者會進入惡意網站。
  • 魚叉式釣魚攻擊——歹徒會發出一份特別打造的針對性電郵至一個機構或個人,它通常針對在財務部工作的行政人員。
  • 網絡捕鯨——與魚叉式釣魚攻擊類似,但它針對機構內的 C 級管理人員。

線上釣魚攻擊

黑客都喜歡在網上犯案,他們會建立偽冒網站或登入網頁來騙取敏感資料。除了取得您的信用卡號碼、銀行帳號資料及社交媒體憑證外,歹徒也會透過社交媒體針對您的朋友或同事,方法是利用侵入您的社交媒體帳號來向您的追隨者發放直接訊息,進行釣魚攻擊。這是一個很容易成功的手法,因為現時大家都會花很多時間在社交媒體上。

如何防止釣魚攻擊

您有很多方法可以保護自己,其中最重要的是要時刻謹慎。

  • 小心檢視電郵才決定是否點擊連結。將鼠標放在原本的電郵地址或要點擊的連結之上,您會看到這是否真正想去的地方
  • 在網站輸入敏感資料前,重複再看一次在頁面頂端的網址,確認這是否正確的網站。亦要確認在網址中是否多了一些字母,包括是否將字母 O 取代為數字 0,因為有時實在難以分辨。
  • 細心思考是否點擊朋友的貼文,假如其內容好到難以置信,那就一定有問題。
  • 在回應朋友表示出現難題並要求金錢援助的貼文前,應想想這是否你們慣常的溝通方式。
  • 細心思考是否點擊彈出的訊息或彈窗廣告。
  • 細心思考是否要打開電郵附件。您是否預期收到發件人的附件? 如果不是的話,最好問一下。
  • 細心思考是否要回應文字短訊。您的電話公司、銀行或其他機構都應該不會以文字短訊與您聯絡。
  • 除非您肯定正與可信賴的人對話,否則不要交出您的個人資料。
     

第二步就是要保護您的帳號。您的密碼應包含超過或接近 20 個字,但不一定要包含所有四個選項(大階、細階、數字、符號),而只要有其中兩至三項已經足夠,但在設定新密碼時應改變組合。不過,很多人都有困難記住密碼。您應設定一個自己可以記住的長密碼,然後利用如 LastPass 或 Password Safe 等密碼管理工具來進行管理。

另外一個要點就是要在所有帳戶採用雙重認證。有些網站的唯一選擇就是利用發送一次性密碼短訊至手機來作雙重認證,雖然這已經比單單採用密碼作登入更為優勝,

但美國國家標準暨技術研究院(NIST)已不再支持這種一次性密碼短訊的認證方式。較好的方案就是使用可建立一次性密碼的工具,如 Google Authenticator、Microsoft Authenticator, LastPass Authenticator 及其他類似方案,您可以在帳戶設定中找到這些選項。

採用軟件工具可以協助您發現遺漏的事項,亦應採用防火牆、防毒軟件、反惡意程式軟件及反釣魚工具。您亦應明智地選擇瀏覽器,要了解所用瀏覽器能否提供釣魚攻擊防護,能否加入插件等。假如答案是否定的,您應另選瀏覽器。

除了以上員工建議外,機構亦應:

  • 使用電郵閘道來延截垃圾電郵及移除包含可疑連結及附件的電郵。
  • 安裝垃圾釣魚過濾器以減少來自未知發件者或包含可疑內容的電郵。
  • 使用 DMARC 電郵認證工具來防止歹徒利用假的發件者身份發出電郵。
  • 使用人工智能過濾方法來識別商務電郵詐騙電郵。歹徒會假冒為機構的高層管理人員來發出商務電郵詐騙電郵,他們一般都會要求員工將一筆款項轉數至歹徒的帳號。
  • 採用整合所有服務的保安方案來防護源自機構內部的釣魚攻擊。
  • 透過定期模擬釣魚攻擊及培訓,確保員工了解釣魚攻擊的危險性。

相關資料

相關研究