魚叉式網路釣魚 (Spear Phishing) 是當今最危險、也最具針對性的一種網路攻擊。
目錄
魚叉式網路釣魚的定義
一般的網路釣魚攻擊會採用大範圍撒網的方式,希望能多少撈到一些不知情的受害者,然而「魚叉式」網路釣魚則是一種高度個人化且針對性的網路釣魚攻擊,瞄準的是使用者而非網路。駭客會利用他們蒐集到的受害者詳細資訊來製作很有說服力的訊息,誘騙受害者洩露敏感資訊或點選惡意連結。
魚叉式網路釣魚攻擊如何運作
魚叉式網路釣魚攻擊都是經過精心策劃且縝密執行的,一般來說,魚叉式網路釣魚會包括以下幾個階段:
蒐集資訊
首先,駭客會蒐集有關目標對象的資訊,他們會利用各種資源,如:社群媒體、公司網站或其他公開資訊來源來蒐集目標對象的相關資訊,包括:電子郵件地址、職稱、個人興趣,以及人際關係等等。
個人化訊息
在蒐集到有關目標對象的資訊之後,接著駭客會製作一封個人化的訊息/電子郵件。這封訊息會刻意設計得好像來自可信任的來源,例如:同事、商業夥伴,甚至是主管。藉由個人化,可以讓訊息更具說服力,並提高受害者受騙上當的機率。
社交工程技巧
駭客會利用社交工程技巧來操控目標對象的心理,使他們洩露敏感資訊、點選惡意網址,或是其他對其個人或企業有害的動作。駭客會設法讓受害者感到焦急、恐懼或者好奇,這樣受害者就會立刻行動。一些常見的手法包括:假冒上司的緊急要求、供應商的發票,或是信譽良好的服務所發出的通知。
執行
訊息製作完成之後,就會發送至目標對象。這封訊息有時含有惡意網址來將受害者帶到專門竊取登入憑證的網路釣魚網站,有時則是含有附件檔案,附件檔案一旦開啟就會在受害者裝置上安裝惡意程式。有時候,駭客會直接要求提供敏感資訊。
常見的攻擊目標及後果
典型目標
魚叉式網路釣魚攻擊的目標通常是某個能夠存取珍貴資訊或資產的個人或機構,例如:
- 企業高階主管:高階主管之所以成為主要目標,是因為他們可以存取公司的機敏資訊,以及他們在公司內的地位,所以這類攻擊也稱為「網路捕鯨」(whaling) 攻擊。
- 特定員工:能夠存取企業內部珍貴資訊的人員,例如:財務、人事及 IT 部門的員工。
- 特定產業:政府、金融、醫療等產業都是常見的目標,因為當魚叉式網路釣魚攻擊僥倖得逞時,其報酬將相當可觀。
潛在後果
- 資料外洩:一些機敏資訊,如:個人資料、金融資訊和智慧財產等等,都可能會遭到竊取。
- 財務損失:駭客可能會進入銀行帳戶、執行不法交易,或是誘騙受害者匯款。
- 商譽損失:遭到魚叉式網路釣魚攻擊的企業,很可能將蒙受商譽損失,並導致客戶、合作夥伴及利害關係人的不信任。
- 營運中斷:透過魚叉式網路釣魚攻擊安裝的惡意程式,可能會干擾企業營運,導致停機及生產力損失。
如何辨別魚叉式網路釣魚攻擊
魚叉式網路釣魚攻擊高度個人化的特性,使得它們不容易被察覺,但還是可以留意幾個危險徵兆:
不預期的要求
若您收到緊急或不預期的要求,對方希望索取某種敏感資訊,您應該先透過其他獨立管道進行確認之後再給予回覆。
與平常不同的用語或語氣
就算是製作得非常逼真的魚叉式網路釣魚郵件,也可能出現一些用語和說話語氣上的細微異常。請看看是否有任何和寄件人平常說話習慣不一致的地方,例如用詞、文法錯誤或說話語氣。
寄件人詳細資訊不符
仔細檢查寄件人的電子郵件地址和網域,魚叉式網路釣魚郵件在發信時,經常使用看似某家正常機構的電子郵件地址,然而其中卻可能含有一些微小差異。
可疑的連結與附件檔案
在點選連結之前,請先將滑鼠游標移到連結上方來查看其完整網址。不請自來的附件檔案,在未經適當確認之前,請勿開啟。
預防措施與最佳實務原則
要防範魚叉式網路釣魚,企業及個人都應建立一套完善的預防措施,例如:
員工訓練
魚叉式網路釣魚攻擊的目標是人員而非系統,因此,您必須訓練員工如何辨別及回應魚叉式網路釣魚攻擊。您可藉由網路釣魚模擬演練來測試員工的資安意識,並提升他們的辨別能力。
嚴密的電子郵件防護
導入進階電子郵件防護機制,例如:垃圾郵件過濾、電子郵件認證 (DKIM、SPF、DMARC) 以及網路釣魚防護解決方案。這些工具可在惡意郵件到達使用者之前預先加以過濾。
多重認證
啟用多重認證 (MFA) 來保護機敏系統和資料的存取,MFA 可增加一道額外的防護,讓駭客更難在未經授權情況下獲得存取權限。
定期的資安意識提升計畫
持續實施資安意識提升計畫,讓員工隨時掌握最新的魚叉式網路釣魚手法,以及安全上網的習慣。
事件回應的角色
當遇到魚叉式網路釣魚攻擊時,一套明確的事件回應計畫非常重要:
發掘並遏止威脅
迅速發掘並遏止威脅來避免進一步的損害,包括:隔離受影響的系統、攔截惡意的 IP 位址,以及變更已遭破解的密碼。
通知受影響的對象
您應該通知所有受資料外洩事件影響的對象,此時最重要的是公開透明,這樣別人才能採取必要的預防措施。
實施矯正措施
採取矯正措施來解決攻擊所使用的漏洞,包括:更新資安措施、修補軟體、強化電子郵件過濾系統。
魚叉式網路釣魚的未來趨勢
AI 與機器學習
魚叉式網路釣魚集團正利用 AI 和機器學習來製作更具說服力的魚叉式網路釣魚訊息,這將導致其攻擊變得高度個人化而且精密,也因此會更難偵測。
IoT 與雲端防護
隨著物聯網 (IoT) 和雲端服務日益普及,駭客也開始瞄準這類環境,魚叉式網路釣魚技巧正不斷演進以利用連網裝置和雲端基礎架構的漏洞。
進階持續性滲透攻擊 (APT)
APT 採用精密的技巧來滲透網路,並潛伏在網路內部而不被偵測,這類攻擊經常使用魚叉式網路釣魚作為突破防線的管道,因此企業必須不斷調整防禦策略。
持續的滲透測試
持續的滲透測試與紅隊演練,有助於企業隨時搶先魚叉式網路釣魚威脅一步,這類主動式措施可即時偵測並解決漏洞,進而提升整體資安。
哪裡可以取得有關魚叉式網路釣魚的協助?
魚叉式網路釣魚越來越難偵測,它們是藉由人員的疏忽而得逞,所以資安意識的提升與訓練變得比以往更加重要。您的企業需要一套電子郵件防護解決方案來讓 IT 系統管理員與資安團隊擁有完整的可視性與整合式功能來對抗駭客。Trend Vision One™ Email and Collaboration Security 可透過我們的 Trend Vision One™ Cyber Risk Exposure Management (CREM) 資安曝險管理解決方案來提供 Trend Vision One™ Security Awareness 的資安意識提升功能,藉由我們 AI 驅動的解決方案,您就能獲得交叉關聯情報的偵測能力,讓員工做出明智判斷,進而有效防範精密的網路釣魚攻擊。