網路資安威脅
不再是單純金光黨騙局!六種企業網路釣魚手法再進化
Trend Micro Research 指出,趨勢科技 2021 年偵測並攔截的網路釣魚攻擊數量成長了 137.6%,本文說明網路釣魚的最新發展趨勢以及如何藉由一些最佳實務原則來強化您的電子郵件安全並降低資安風險。
六種不同的形態
網路釣魚攻擊持續升溫,根據趨勢科技 2021 年 Cloud App Security 威脅報告指出,該年的網路釣魚攻擊數量較 2020 年大幅成長 137.6%。這也難怪在 Osterman Research 的報告中,受訪者會「擔心」或「極為擔心」員工可能在遇到網路釣魚攻擊時不小心上當點選了電子郵件中的附件或連結。
由於網路釣魚的樣貌繁多,因此員工越來越難分辨其真偽也情有可原,今日的網路釣魚詐騙再也不是一些單純的金光黨騙局,而是已經發展出六種不同的形態,包括:
企業都了解保護機敏資訊以及防範資料外洩的重要性,然而對資安團隊來說,網路釣魚攻擊至今依然防不勝防。企業的資安風險之所以越來越高,是因為企業未能掌握並成功過濾電子郵件威脅、未能正確區分行銷郵件與網路釣魚郵件、未能採用一套多層式電子郵件防護並且利用規則來全面追蹤流量及攔截進行中的惡意行為。
本文提供一些可防範網路釣魚攻擊並降低資安風險的電子郵件安全最佳實務原則。
網路釣魚攻擊趨勢
網路犯罪集團的攻擊手法會一直演進,目的就是為了搶先受害者一步以取得先機。以下是近期的一些變化:
1. 進階社交工程(social engineering )手法,釣魚信件撰文口氣仿真高階主管:
過去,員工大多能從郵件內容的文法錯誤和句型錯誤來辨別網路釣魚郵件。但現在,網路犯罪集團已學會在郵件當中加入企業的標誌並模仿企業的口吻。此外,還會透過社群媒體來研究企業高層主管的寫作及說話方式,並了解企業的組織架構,以便滲透企業機構。
2. 交叉運用多種網路釣魚形態,發信給高階主管後,再來撥電話語音釣魚:
網路犯罪集團會設法製造一種急迫感來促使受害者立即行動。為達目的,他們會結合多種網路釣魚技巧。根據英國國家網路安全中心 (National Cyber Security Centre,簡稱 NCSC) 的報告指出,有多起事件歹徒結合了不只一種網路釣魚技巧,例如:先發送一封網路釣魚郵件給高階主管 (whaling),然後再撥一通電話跟該主管接觸 (vishing) 以快速建立信任並確認請求。
◎延伸閱讀:
- 企業可能遭遇的三種網路威脅:好大的胃口!網路捕鯨 (Whaling)專門鎖定企業高階主管
- 網路釣魚進化成 AI 語音釣魚,偽裝老闆聲音騙走 770 萬台幣!
- 你收到郵件及電話可能是假的!?-秘書、助理需留意的網路威脅
3. 不再使用單一郵件,攔截現有的郵件討論串,降低警覺心:
駭客可能先駭入某個電子郵件帳號,然後攔截現有的電子郵件討論串。由於人們大多覺得詐騙郵件應該是一封單獨的郵件,所以,當駭客將緊急匯款請求郵件夾雜在某個現有的討論串當中時,會比一封單獨的信來得不容易令人起疑。
電子郵件安全最佳實務原則:採用多層式方法
強化電子郵件安全,不僅能減少財務損失,還能幫您順利投保 或續約資安險。資安險申請表上經常會問這樣的問題:「您是否會預先過濾電子郵件來防範惡意附件和連結?」、「您是否有能力在郵件進入使用者信箱之前,預先在沙盒模擬環境內自動觸發或檢查電子郵件附件的行為,以判斷是否為惡意附件?」如果您的回答是「否」,那麼您可能會被立即拒保,而且沒有機會再重新申請。
儘管採用電子郵件的原生防護是個不錯的開始,但光這樣還不足以保障您的企業安全。2021 年,趨勢科技總共偵測並攔截了 3,300 多萬封原生防護漏掉的惡意電子郵件 。
那麼,多重式防護是如何運作?我們分成四個步驟來說明多重式防護功能與技術如何遏止網路釣魚攻擊:
1. 電子郵件閘道
當一封電子郵件一進入企業時,它首先要經過電子郵件閘道的檢查。傳統的電子郵件防護很可能只提供一些基本的電子郵件過濾及保護。所以,請盡量採用最新的威脅防禦技術,如:人工智慧 (AI)、機器學習 (ML) 及行為分析,並透過單一儀表板來減少人工作業以減輕資安團隊壓力。比方說,作者分析技巧可將某一封疑似冒名的郵件與其相關使用者的寫作風格 AI 模型做比對。如此可以建立一種比較的基礎,進而發掘一些需要資安團隊進一步調查的異常情況。
2. 雲端應用程式防護
雲端應用程式安全代理 (Cloud Application Security Broker,簡稱 CASB) 技術可確保萬一某封電子郵件真的進入了信箱,並且在後來因為有新的情報出現、或經過進一步的郵件連結或附件分析之後被判定為惡意郵件,那麼該郵件還是可以從信箱當中抽回。有了適當的 CASB 解決方案,您就能掃描同事之間的電子郵件往來,防範因帳號遭到入侵而發送網路釣魚郵件給其他同事的情況。
3. 使用者教育
若單純透過一些使用政策 (AUP) 來限制使用者行為,不僅可能過於嚴格,而且可能阻礙生產力。此外,為了完成工作,員工還可能會想出一些投機取巧的方法來避開限制,如此反而製造更多資安風險,不知不覺讓企業受攻擊面擴大。但如果是在電子郵件的開頭加註一段警語讓員工知道是外來郵件,反而可以幫助員工提高警覺。
執行網路釣魚模擬攻擊來測試員工的意識和警覺度。有些網路資安廠商會在其電子郵件防護產品當中包含資安意識相關的產品。例如,Trend Micro™ Phish Insight 就提供了客製化訓練教材來教育員工防範一些最新且最相關的威脅。藉由一些取自網路釣魚詐騙真實案例的範本,您就能夠自動化執行真實的模擬情境來考驗員工的資安常識。
4. 安全網站閘道 (SWG)
SWG 介於終端使用者與網際網路之間,運用多種資安技巧來檢查網路流量,包括 TLS/SSL 流量。
萬一使用者真的點選了某個惡意連結,SWG 技術會透過視覺分析與機器學習技術來分析網頁的品牌元素、登入表單以及其他網站內容,進而偵測冒牌網站並減少誤判情況。此外,若再搭配一些使用政策 (AUP),企業就能防止員工存取一些未經核准的應用程式並在應用程式上面輸入了個人敏感資訊,如此可進一步降低風險。
整合至一套更廣泛的平台
與其採用零散的資安解決方案,請盡量尋找一套全方位網路資安平台當中的解決方案,此外,該平台也應具備廣泛的第三方整合能力與延伸式偵測及回應 (XDR) 功能。
XDR 可蒐集並交叉關聯電子郵件的活動資料,以及地理定位、時間與存取資訊,若再配合其他行為指標,就能建立出使用者的分析檔案。如此一來,一旦偵測到異常狀況,就能加以標記並供後續調查。而且,交叉關聯資料還可幫忙縮小受攻擊面,進而降低資安事件的發生機率。
下一步
如需有關網路釣魚以及其他電子郵件網路攻擊的更多資訊,請參閱以下文章: