釣魚攻擊的種類包括傳統的電郵釣魚以至更具創意的魚叉式網絡釣魚及短訊釣魚。他們的目的只有一個,就是要竊取您的個人資料。
利用魚竿釣魚您可能會釣到一些您想像不同的東西,可能是魚,也可能是垃圾。以魚叉捕魚讓您可以更精準的針對某一類魚,這亦是此名稱的來源。
魚叉式網絡釣魚攻擊針對特定群組或個人,例如機構的系統管理人員。以下是魚叉式網絡釣魚電郵的例子。請留意收件者工作的行業、誘騙受害者的下載連結及要求馬上回應的手法。
網絡捕鯨是一種更具針對性的釣魚攻擊,因為它針對鯨魚這類大型海洋生物。這攻擊通常會針對某一行業或某機構的 CEO、CFO 或任何 CXX,方式是發出電郵表示機構正面對法律後果,並要求該些高級行政人員點擊連結以詳細了解事件。
這連結會指向一個網頁,並會要求行政人員提供機密的公司資料,例如稅務帳號或銀行戶口號碼等。
顧名思義,短訊釣魚就是利用短訊來進行攻擊,常見的短訊釣魚技巧是向手機發出包含可點擊連結或回覆電話號碼的短訊,
例如假裝來自銀行的短訊,它會通知您戶口已被入侵故需要馬上採取行動。攻擊者會要求您確認銀行戶口號碼、身份證號碼這類資料,當攻擊者收到這些資料後,他們就可以控制您的戶口。
語音釣魚跟其他釣魚攻擊的目的都一樣,歹徒都試圖從中取得敏感的個人或機構資料。這攻擊透過電話進行,因此被稱為語音釣魚。
常見語音釣魚攻擊為假裝是 Microsoft 代表致電給受害者,並聲稱已在其電腦上偵測到病毒。攻擊者者會要求受害者提供信用卡資料以便在其電腦上安裝最新的防毒軟件。歹徒除了取得用戶的信用卡資料外,更可能已經在用戶電腦上安裝了惡意程式,
其中可能包括銀行木馬以至網絡機械人程式。銀行木馬程式會監察您的網上活動來盜竊更多用戶的銀行帳號資料,包括密碼。
而由命令與控制系統操縱的機械人程式會根據攻擊者指示作出動作,包括挖掘虛擬貨幣、發送垃圾電郵或參與分散式阻斷服務攻擊(DDoS)等。
電郵釣魚是最常見的釣魚攻擊,自 90 年代開始已經出現。黑客會利用從不同途徑取得的電郵地址發出電郵,內容通常都告訴用戶其帳號已被入侵,並需要馬上點擊連結來採取行動。此類攻擊一般都較易被識別,因為電郵內很多時都會出現錯字或文法錯誤。
但有些電郵則較難被認出,因為有些攻擊者會更細心撰寫電郵。在此情況下,檢查電郵來源及被轉接的連結是否含有可疑文字可以提供更多資料辨識其來源是否真實。
在另一個被稱為性勒索的釣魚攻擊中,黑客會發出一封看來從您的帳號發出的電郵,並聲稱可以登入您的電郵帳號及電腦,及已取得您的密碼和一段短片。
黑客會聲稱用戶曾在打開電腦鏡頭及在攝錄的情況下,在電腦觀看色情片段。他會要求用戶付出掩口費,否則會向其家人及/或同事發佈短片。而這費用通常要求以比特幣支付。
搜尋引擎釣魚又稱為搜尋引擎優化中毒或搜尋引擎優化木馬,是黑客在搜尋引擎推高某一項目搜尋率的手法。在瀏覽器點擊這些連結會將您轉接至黑客的網站,黑客亦可在您與網站互動或輸入敏感資料後竊取您的資訊。黑客網站的內容多樣化,但主要都圍繞銀行、轉數、社交媒體及購物網站。
相關資料
相關研究