何謂網路釣魚攻擊?

網路釣魚攻擊是一種駭客試圖誘騙您提供敏感資訊的詐騙手法,目的是要騙取您的登入帳號密碼、信用卡卡號,以及企業機敏資訊。此外,也可能會試圖讓您的電腦感染惡意程式。

何謂網路釣魚?

所謂的「網路釣魚」是指駭客試圖利用連網裝置來從事詐騙的一種攻擊手法。駭客可以藉由手動方式發動攻擊,或利用某種工具將攻擊流程自動化。當然也可以兩者互相搭配,一開始先用腳本工具來突破防線,之後再用手動方式完成攻擊。

「網路釣魚」(phishing) 一詞最早可追溯到 1994 年一群青少年利用手動方式向不知情的美國線上 (AOL) 使用者騙取信用卡卡號。到了 1995 年,他們開發了一個名為「AOHell」的程式來將詐騙的過程自動化。

從此之後,駭客便不斷開發新的伎倆騙取網際網路使用者的各種資料。這些駭客開發了許多程式以及各式各樣至今仍在使用的惡意軟體。這些工具當中有些是專為執行滲透測試 (也就是「經過許可的駭客攻擊」) 而設計。然而,工具一旦落入駭客手中,他們總是會找到一些惡意用途。

多年來,駭客已經開發出專為網路釣魚而設計的惡意軟體。PhishX 就是其中之一,它是為了竊取銀行帳號資料而生,駭客利用 PhishX 來製作冒充知名銀行的網站,而您很可能也是這些銀行的客戶。但這些網站上的電話號碼跟電子郵件地址卻屬於駭客所有,因此,如果您點選「與我們聯繫」(Contact Us) 連結,您所聯繫的對象其實是駭客。

Phishing Frenzy 原本就是一個專門用來進行滲透測試的網路釣魚電子郵件工具,結果,因為 Phishing Frenzy 非常好用,所以也受到許多駭客歡迎。

還有另一個網路釣魚工具是 Swetabhsuman8,這是一個可讓駭客建立假的登入網頁然後竊取 Instagram 帳號的工具。當您在這個網頁上輸入自己的登入資訊時,駭客就可以蒐集到您的帳號 ID 跟密碼。

除了假冒網站、網路釣魚電子郵件工具,以及專門用來竊取登入資訊的惡意登入網頁之外,駭客還會成立電話中心,好讓您在撥打他們電子郵件、假冒網站或文字簡訊當中所附的電話號碼時可以有專人接聽。 

現代的勒索病毒集團通常會攻擊較大型的企業以盡可能提高獲利,他們會先花費大量時間來駭入受害者網路的每一個區段,最後才發動勒索病毒攻擊。像這樣多階段式的攻擊,一開始通常都是經由一封網路釣魚郵件來突破企業的防線。

網路釣魚攻擊範例

雖然網路釣魚的形態有很多種,不過最普遍也最容易認得的還是網路釣魚電子郵件。這類攻擊越來越精密,並且還發展出所謂的魚叉式網路釣魚 (spear phishing)、網路捕鯨 (whaling)、雷射導引攻擊 (laser-guided attack) 等等。此外,網路釣魚攻擊也從電子郵件擴展到其他通訊平台,如:文字簡訊及社群媒體。

以下是目前見到的幾種網路釣魚攻擊類型:

  • 網路釣魚電子郵件 – 駭客發送一封含有連結的電子郵件,目的是要引起您的疑慮、擔心,或好奇,然後您就會點選郵件中的連結。
  • 網路釣魚電話 (Vishing) – 駭客撥打某個市話、行動電話或 VoIP 網路電話來試圖與使用者聊上一陣子。
  • 網路釣魚簡訊 (Smishing) – 駭客發送文字簡訊給您,要求您點隨附的連結或撥打隨附的電話號碼。
  • 網址嫁接攻擊 (Pharming) – 當越來越多人開始了解點選不請自來的郵件連結有多危險之後,駭客便開發了網址嫁接攻擊。網址嫁接攻擊會附上一個惡意網址讓您將網址複製貼上到瀏覽器內並連上該網站。網址嫁接攻擊技巧會篡改本機的網域名稱系統 (DNS) 快取,以便在使用者試圖連上某機構的官方網站時,將使用者導向假冒的網站。
  • 魚叉式網路釣魚 (Spear phishing) – 駭客發送一封針對某機構或某位人士量身訂製的電子郵件。魚叉式網路釣魚郵件針對的目標通常是企業機構的高階主管或財務部門的員工。
  • 網路捕鯨 (Whaling) – 網路捕鯨類似魚叉式網路釣魚,但其目標通常是企業機構的資深高層主管。

線上網路釣魚攻擊

駭客喜歡攻擊我們的線上世界,他們會架設假冒的網站或登入網頁來蒐集機敏資訊。除了蒐集信用卡卡號、銀行帳號、社群媒體登入憑證之外,駭客還會攻擊您好友或同事的社群媒體頻道。當駭客在駭入了您的帳號之後,他們就會透過私訊來發送網路釣魚連結給您的追蹤者、好友或同事。過去十年,由於社群媒體越來越普及,這項手法也越來越常見。

如何防範網路釣魚攻擊

您有許多方法可以保護自己,最重要的第一件事就是隨時保持警戒。

  • 點開電子郵件之前請先仔細檢查一下,將滑鼠停留在寄件人地址或您打算點選的連結上看一下,這樣可以讓一些網路釣魚郵件現出原形。
  • 在網站上輸入機敏資訊之前,再次檢查一下網頁頂端的確切網址。確認一下:這是不是正牌的網站? 網址中是否存在不該有的字元? 是否有些字母被改成了數字 (例如將字母「O」換成了數字「0」? 這兩個有時候很難分辨,
  • 看到好友轉發的貼文,先別急著點進去。如果某樣東西好得讓人難以置信,那很可能就是假的。
  • 當收到好友傳來的訊息說他們遇到了困難急需借錢的時候,先別急著回應,先想一下他們會這樣向你借錢嗎?
  • 在看到螢幕上方或下方的彈出訊息時,先思考一下再決定是否點選。
  • 在開啟電子郵件的附件檔案之前,請先稍微想一下,這個人平常會寄檔案給你嗎? 如果不會,那請先跟他們確認一下。
  • 在收到簡訊 (SMS) 時請先想一下再回覆,因為您的電信業者、銀行等等不太可能用簡訊跟您聯繫。
  • 絕對不要輕易提供您的個資,除非您很肯定對方是您信賴的人。
     

您可以做的第二件事就是妥善保管好自己的帳號。您的密碼最好至少要接近 20 個字元或更長。您的密碼不需要四種字元變化都有 (大寫、小寫、數字、符號),只要有其中兩種或三種就可以了,但要記得新的密碼千萬不能跟之前的密碼重複。許多人都很難記住自己的密碼,您可以建立一個較長且容易記住的密碼,然後將其他的密碼都鎖在密碼管理軟體內,例如:LastPass 或 Password Safe。

接下來,也是最重要的,就是您的帳號應啟用雙重認證 (2FA)。就算網站只支援透過手機簡訊發送一次性密碼,這還是比單純只靠密碼來得安全。

美國國家標準與技術局 (NIST) 目前已經不再支援透過手機簡訊發送一次性密碼,較好的解決辦法是使用一套工具來產生一次性密碼,例如:Google Authenticator、Microsoft Authenticator、LastPass Authenticator 等等。請在您的帳號設定當中找找看有沒有這些選項。

使用軟體工具來幫您注意一些容易被忽略的層面,使用一套防火牆、防毒軟體、惡意程式防護、網路釣魚防護等工具。此外,也請務必謹慎挑選瀏覽器,您的瀏覽器是否可以過濾網路釣魚,或者是否可以附加一些輔助元件? 如果不行,那請選擇別的瀏覽器。

除了上述針對員工個人的建議之外,企業還應做好以下幾點:

  • 使用一套電子郵件閘道來攔截垃圾郵件,並過濾掉含有可疑連結或附件檔案的郵件。
  • 安裝一套垃圾郵件過濾軟體來過濾掉未知寄件人的郵件,或內容可疑的郵件。
  • 採用 Domain-based Message Authentication, Reporting, and Conformance (DMARC) 電子郵件認證工具來防止駭客偽造電子郵件中的「寄件人」地址。
  • 使用人工智慧 (AI) 過濾技術來偵測變臉詐騙 (BEC) 郵件。所謂的變臉詐騙郵件,是歹徒假冒企業機構管理階層名義發出的電子郵件,其內容多半是要求收到信的員工從企業帳戶匯出一筆款項到駭客假冒的帳號。
  • 採用一套與服務整合的資安解決方案來防範來自您企業內部的網路釣魚攻擊。
  • 確定您的員工都了解網路釣魚攻擊的危險,定期對員工實施網路釣魚模擬攻擊訓練。

網路釣魚議題