何謂網路釣魚?

網路釣魚一般是指駭客利用電子郵件來騙取使用者或企業資訊的社交工程技巧,網路釣魚攻擊之所以能夠得逞,大多是因為使用者沒有意識到自己遇到了網路釣魚。

網路釣魚

網路釣魚是一種興起於 1990 年代中期的攻擊手法,一開始是有一群年輕人利用美國線上 (AOL) 的聊天室功能來假冒 AOL 系統管理員。他們竊取其他使用者的信用卡卡號來讓他們永久免費使用 AOL 服務。

AOL 提供了一個「新會員聊天室」的功能來讓使用者到聊天室尋求使用上的協助。這群駭客創了一些看似 AOL 系統管理員的帳號 (如「BillingAccounting」),然後告訴使用者說他們的帳號發生問題。 

使用者被要求提供信用卡卡號來解決這些問題,這群不肖的駭客就拿這些信用卡來支付他們自己的帳號費用。雖然「網路釣魚」一詞當初創造出來時是指類似這樣的攻擊,不過時至今日,它主要已經變成了電子郵件詐騙的代名詞。就這樣,網路釣魚詐騙一直持續至今,而且隨處可見。根據 Verizon 2021 年資料外洩調查報告 (Data Breach Investigations Report,簡稱 DBIR) 指出,36% 的資料外洩都是因網路釣魚而引起。

既然網路釣魚主要仰賴的是社交工程技巧,那麼很重要的一點就是,所有使用者都應了解駭客如何利用人性的弱點。首先,社交工程技巧是一種駭客用來說服使用者做某些動作的騙術,使用者在平常的時候通常不會做這些事。

社交工程技巧有時很單純,例如故意假裝手上拿滿了東西來讓人家主動開門。還有一種類似的社交工程技巧是故意將一個 USB 隨身碟遺落在停車場,隨身碟上還貼著「家庭生活照」的標籤。但這個 USB 隨身碟很可能暗藏惡意程式,一旦插入電腦,惡意程式就會自動安裝到電腦上,如此就能駭入電腦。這就是所謂姜太公釣魚,願者上鉤。

目前,網路釣魚主要是指一般的電子郵件攻擊,駭客會盡可能大量散發這類電子郵件,並經常假冒一些常見的服務或機構,如:PayPal 或美國銀行 (Bank of America)。

這類電子郵件會謊稱他們懷疑您的帳號遭人盜用,要求您點選郵件內的連結來確認帳號的合法性。這個連結通常有兩種作用:

  1. 將您帶到某個酷似原機構的網站,但其實是個惡意網站,例如將使用者帶到「www.PayPals.com」,但其實真正的 PayPal 網址是「www.PayPal.com」 (請注意第一個網址多了一個「s」)。當您在這個網頁上輸入自己的登入資訊時,駭客就可以蒐集到您的帳號 ID 跟密碼。

    接下來,駭客就能進入您的銀行帳號,然後將裡面的存款匯走。不僅如此,駭客還可能獲得另一項好處,那就是駭客或許也取得了進入您其他帳號的密碼,例如:Amazon 或 eBay (因為您在這些網站上也使用了同樣的帳號密碼)。
  2. 下載惡意程式到您的電腦上,惡意程式一旦安裝到電腦上,就能用於發動後續攻擊。這個惡意程式有時是鍵盤側錄程式,可用來擷取您輸入的登入資訊或信用卡卡號,有時是勒索病毒,會將硬碟上的檔案加密然後向您勒索一筆贖金 (通常使用比特幣)。

    有一種可能的情況是,駭客會下載挖礦程式到電腦上,利用被感染的電腦開挖比特幣。它會趁您沒在用電腦時挖礦,或者隨時占用一定比例的 CPU 資源來挖礦。當駭客在挖礦時,電腦的速度通常會變得很慢。

這些年來,網路釣魚已經發展出針對各種不同資料的攻擊,除了錢之外,駭客的目標也可能是一些機敏資料或是照片。

網路釣魚攻擊

網路釣魚攻擊包含了一些駭客用來誘騙您上當的動作,網路釣魚郵件詐騙通常很容易辨認,因為其電子郵件的內容經常會出現句法和錯字的問題。不過駭客在技術上已經相當純熟,而新的攻擊通常會利用人類情緒上的弱點來吸引您,例如:恐懼、憤怒和好奇心。

2011 年的 RSA 攻擊事件,駭客只攻擊了該機構中的 4 名人員。其電子郵件並不複雜,但它之所以能夠成功,就是因為它鎖定了適當的對象。這封標題為「2011 Recruitment plan.xls」的電子郵件是專為吸引其鎖定的對象而設計,對該機構的其他人就不一定有什麼吸引力。

進一步了解

網路釣魚類型

網路釣魚攻擊的類型有很多,包括:傳統的電子郵件攻擊、社群媒體攻擊,以及一些名稱稀奇古怪的攻擊,例如:網路釣魚簡訊 (Smishing) 和網路釣魚電話 (Vishing)。

  • 網路釣魚 (Phishing) –  通常是透過電子郵件。
  • 魚叉式網路釣魚 (Spearphishing) – 精確鎖定特定對象的電子郵件。
  • 網路捕鯨 (Whaling) – 專門鎖定高階主管的網路釣魚郵件。
  • 內部網路釣魚 – 源自企業機構內部的網路釣魚攻擊。
  • 網路釣魚電話 (Vishing) – 透過電話的網路釣魚。
  • 網路釣魚簡訊 (Smishing) – 透過手機簡訊的網路釣魚。
  • 社群媒體網路釣魚 – 利用 Facebook 或其他社群媒體貼文的網路釣魚。
  • 網址嫁接攻擊 (Pharming) – 一種入侵 DNS 快取的攻擊。
     

進一步了解

內部網路釣魚

內部網路釣魚攻擊是近來日益嚴重的一項問題,這是由企業機構內部一位值得信任的使用者發送至該機構另一位使用者的網路釣魚郵件。由於寄件人是值得信任的使用者,因此收件人更容易會點選郵件內的連結、開啟附件檔案,或提供信件內要求的資訊。 

然而要發送內部網路釣魚郵件,駭客必須先掌握您的登入憑證來進入您的電子郵件帳號。此外,駭客也可能實際上取得了您遺失或失竊的裝置,或是透過惡意程式掌控了該裝置。內部網路釣魚郵件經常是多重階段網路攻擊的其中一環,其最終目的通常是利用勒索病毒對企業勒索,或者竊取錢財或智慧財產。

網路釣魚簡訊 (Smishing)

網路釣魚簡訊是一種經由行動裝置的攻擊。今日行動裝置的銷售量遠勝過個人電腦,因此駭客也聚集到這個平台來竊取個人資料。網路釣魚簡訊攻擊通常會先發送一封簡訊到您的手機,說您的帳號發生某些問題,並附上一個電話號碼讓您回撥來解決這些問題。當您回撥時,另一頭通常會是駭客親自接聽,或者他們會聘請一些「員工」來幫他們從事詐騙。

如果您沒有回撥,駭客也可能親自打電話來通知您「帳號已經遭駭客攻擊,必須提供一些帳號細節來解決這項問題。」 駭客通常會撥打很多的電話來提高成功率,這就是所謂的網路釣魚電話 (Vishing)。

進一步了解網路釣魚簡訊 (Smishing)

社群媒體網路釣魚

社群媒體已經成為我們數位生活當中的重要一環,所以駭客才有辦法輕易利用它來從事網路釣魚詐騙。Facebook 上常見的一種網路釣魚詐騙就是張貼一些「優惠」或「好康」訊息給好友,內含一些可以點選的連結。為了執行這類詐騙,駭客必須先進入您的帳號。

這對許多帳號來說其實不難,因為,假使有某家公司的線上伺服器遭駭客入侵而導致使用者帳號密碼資料外洩,那麼駭客就會利用這些電子郵件帳號跟密碼的組合來試圖登入像 Facebook 或 LinkedIn 這類常用的社群媒體平台。

進一步了解社群媒體網路釣魚

網址嫁接攻擊 (Pharming)

當使用者越來越了解網路釣魚的攻擊手法之後,駭客便開發出這種新的攻擊技巧。網址嫁接攻擊主要是駭入您電腦上的網域名稱系統 (DNS) 快取,這通常是透過偷渡式下載 (drive-by download) 的方式。 

當您正在瀏覽網站而到處點選時,駭客就在背後悄悄利用網站的資安漏洞,駭客可輕鬆修改網站的 HTML 檔案,讓您在瀏覽或點選到網站時,自動下載一些資訊。

既然您已經不再輕易點選郵件中的連結,駭客就等待您自投羅網,自己去連上網路銀行。此時,若您的 DNS 快取已遭到駭客篡改,您就會被帶到駭客仿冒您的銀行網站所製作的網站。當您輸入自己的使用者 ID 跟密碼時,駭客就會拿到您的登入憑證,進而登入您的銀行帳號將錢偷走。

如何防範網路釣魚?

您可以採取一些步驟來保護自己:

  • 任何帳號都盡可能啟用雙重認證 (2FA)。
  • 採用一套惡意程式防護軟體。
  • 使用防火牆。
  • 小心任何彈出視窗或底部橫幅。
  • 對已知及未知來源的電子郵件附件都保持警覺。
  • 對於已知及未知來源的文字簡訊或即時通訊,只要是要求您點選連結或是向您詢問個人資訊的訊息,都應保持警覺。
  • 絕不提供您的個人資訊。

除了上述針對一般個人的建議之外,企業還應做好以下幾點:

  • 在閘道口過濾網路釣魚和惡意網站流量。
  • 採用 Domain-Based Message Authentication, Reporting, and Conformance (DMARC) 來驗證電子郵件寄件人。
  • 根據寄件人及內容來過濾網路釣魚郵件,運用靜態及動態技巧來分析郵件內的網址與附件檔案。
  • 採用人工智慧 (AI) 技術的進階過濾技巧來偵測變臉詐騙 (BEC) 郵件以及登入憑證竊取攻擊。
  • 採用一套能與服務整合的防護,直接透過 API 與您的雲端或企業內電子郵件平台整合,來防範內部網路釣魚攻擊。Microsoft 365、Google G Suite、Microsoft Exchange Server 以及 IBM Domino 伺服器接皆可支援這樣的整合。

網路釣魚議題