偽冒攻擊(Spoofing)是攻擊者常用的一種手法,透過假冒可信來源,以達成欺騙、操控或竊取受害者資料等目的。
目錄
偽冒如何運作?
偽冒攻擊是透過偽造資料,使其看似來自可信或熟悉的來源。例如,攻擊者可能偽造電子郵件中的「寄件人」地址、偽裝成銀行來電號碼,或修改網路封包,使其看似來自可信裝置。
那麼,偽冒在實務上指的是什麼? 它指的是使用假的數位憑證、訊息或訊號來取得信任並繞過資安防護機制。其基本的原理都是:透過操控受害者所看到的資訊,隱藏惡意意圖。
數位欺騙手法的作用
電子郵件偽冒通常結合技術手法與社交工程心理操作。駭客會使用偽造的電子郵件標頭、篡改來電號碼、對 DNS 快取下毒,或者干擾 GPS 訊號,目的是要讓惡意內容看起來像真的。在社交工程層面,攻擊者會利用急迫性、恐懼心理,以及使用者對知名品牌的信任,誘使受害者點選網址、提供登入憑證,或核准詐騙交易。
偽冒攻擊的目的是什麼?
偽冒攻擊的目的不盡相同,但絕大多數都可歸納為幾種類型。駭客的目標經常是竊取個人資料,例如帳號密碼和銀行資訊。有些時候則利用偽冒手法來散播惡意程式或發動網路釣魚攻擊,為勒索病毒鋪路。例如在 ARP 偽冒這類技術性攻擊當中,其目標通常是為了攔截或操控網路流量。不論其目標是獲取錢財、從事間諜活動,或是盜用帳號,偽冒攻擊都是一種利用人類和系統的信任來犯罪的一種強大方法。
偽冒攻擊與網路釣魚的差別
偽冒攻擊是透過偽造通訊資訊 (如電子郵件標頭或 IP 位址) 使其看似來自合法可信的來源。。相較之下,釣魚攻擊則著重於社交工程操作,誘使受害者執行特定行為,例如點擊惡意連結或提供敏感資料。在許多情況下,偽冒攻擊是傳遞手段,而釣魚攻擊則是實際利用受害者的攻擊方式。兩者結合後,便形成技術欺騙與社交工程心理操作的高風險攻擊組合。
以下是偽冒與網路釣魚的比較:
元素
偽冒
網路釣魚
定義
冒充成可信任的來源,
偽造數位資訊。
誘使使用者揭露敏感資料或執行高風險操作。
主要目標
透過偽裝成合法來源,以取得信任或繞過安全防護。
竊取帳號憑證、散播惡意程式或進行詐騙活動。
方法
技術型偽冒手法(例如偽造寄件人地址、IP 位址、
偽冒網域)。
社交工程手法 (例如:讓人容易上當的電子郵件/訊息、緊急的要求)。
類型
電子郵件偽冒、IP 偽冒、SMS 偽冒、DNS 偽冒、ARP 偽冒、GPS 偽冒,以及 MAC 位址偽冒。
魚叉式網路釣魚 (Spear Phishing)、網路捕鯨 (Whaling)、語音釣魚 (Vishing)、網路釣魚簡訊 (Smishing)、網址嫁接攻擊 (Pharming)。
常見的偽冒攻擊類型
偽冒攻擊是一種涵蓋多種攻擊技術的統稱,而每種技術皆具有不同的風險與偵測難度。
電子郵件偽冒
當駭客在電子郵件中偽造寄件人地址,讓郵件看起來好像是來自可信任的聯絡人時,就是電子郵件偽冒。那麼,電子郵件偽冒如何運作? 駭客會修改標頭資訊,讓它顯示一個熟悉的電子郵件地址,這通常是用來誘騙收件人點選惡意連結或下載被感染的檔案。這種手法在網路釣魚攻擊與變臉詐騙 (BEC) 當中相當常見。要攔截電子郵件偽冒的情況,一些電子郵件服務 (如 Gmail) 會建議啟用一些認證通訊協定,例如:SPF、DKIM 和 DMARC,來驗證電子郵件是否來自經過授權的伺服器。
IP 偽冒
IP 偽冒是指偽造資料封包的來源位址,讓封包看似來自受信任的裝置。這項技巧在阻斷服務 (DoS) 與分散式阻斷服務 (DDoS) 攻擊當中相當常見,它們會利用偽冒的封包對系統發動洪水攻擊,直到系統當機為止。ARP 偽冒和 DHCP 偽冒同樣也是用來操弄本地端網路流量的相關技巧。要偵測 IP 偽冒,通常需要入侵偵測系統 (IDS)、封包檢查,以及嚴格的防火牆規則。
DNS 偽冒 (網域偽冒)
DNS 偽冒又稱為「網域偽冒」或「網站偽冒」,這是將使用者重導至模仿某個網站的冒牌網站。攻擊者會透過竄改 DNS 紀錄或劫持快取項目,誘使受害者輸入帳號憑證或下載惡意程式。在這類 IP 偽冒攻擊當中,假網站看起來會幾乎跟真的網站一樣,因此一般使用者很難分辨。
ARP 偽冒
ARP 偽冒有時也稱為「ARP 下毒」,也就是駭客在區域網路內部發送偽造 ARP 訊息的情況。此攻擊會誘使裝置將攻擊者的 MAC 位址誤認為合法 IP 位址所對應的裝置,進而攔截或操控網路流量。ARP 偽冒與 ARP 下毒之間有一個微小差別:ARP 偽冒是發送假的訊息,而 ARP 下毒則是破壞網路的 ARP 快取。Cisco 和其他資安廠商都建議採用網路分割與動態 ARP 檢查來降低這類風險。
來電號碼偽冒
來電號碼偽冒是在收到來電的裝置上顯示假的電話號碼。駭客可能假扮成銀行、政府機關或企業,要求受害者提供個人資訊或付款。很多人都會懷疑,來電顯示的號碼偽冒不是違法的嗎? 在許多司法管轄區,當它被用於詐騙或惡意用途時,屬於違反行為,但法律上仍有一些合法的用途,例如用於執法行動。要在 iPhone 和其他裝置上攔截偽冒的電話號碼,通常需要電信業者層級的工具,或是第三方通話過濾應用程式。
簡訊偽冒
簡訊偽冒是指發送看似來自可信任號碼或服務的簡訊。受害者通常會收到緊急的訊息要求他們點選某個連結或提供驗證碼。要在 iPhone 或其他裝置上防止文字簡訊偽冒,使用者應避免點選非預期的連結,直接與發送訊息的單位確認訊息的真實性,並且可以的話,請使用電信業者提供的垃圾訊息過濾功能。
GPS 偽冒
GPS 偽冒是操弄定位訊號,讓裝置誤判自身所在位置。歹徒利用這項手法來欺騙定位服務、干擾車隊追蹤系統,或是干擾無人機。很多人都會問,GPS 偽冒是違法的嗎? 在大多數情況下確實違法,尤其是用於詐騙或干擾導航系統。話雖如此,一般使用者有時還是會在遊戲中使用假的 GPS 定位 (例如玩 Pokémon Go),但這麼做會冒著永久被禁的風險。
MAC 位址偽冒
MAC 位址偽冒是修改裝置的 MAC 位址來冒充成同一網路上的另一台裝置。為何 MAC 位址偽冒會對無線網路造成威脅? 因為此技術可讓攻擊者繞過網路過濾機制、進行工作階段劫持,或冒充可信裝置,而且往往難以被察覺。
為何要偽冒攻擊是一項危險的威脅?
偽冒攻擊之所以危險,是因為它們會侵蝕數位信任的基礎。當您再也無法信賴電子郵件、電話號碼或網站的真實性時,每一次的互動都存在著風險。其後果從財務資料失竊、銀行帳戶掏空,到大規模的資料外洩與身分盜用都有可能。近年來,光是變臉詐騙就讓企業蒙受數十億美元的損失。除了財務損失之外,偽冒還會破壞人們對數位通訊的信心,使得個人和企業對收到的每一封訊息都戰戰兢兢。
如何偵測偽冒攻擊
早期偵測對於降低偽冒攻擊的損害至關重要。
電子郵件和訊息中的徵兆
應仔細檢查寄件人地址是否存在拼字差異、異常網域名稱,或文法與語氣不一致等情況。在點選連結之前,先將滑鼠游標移到連結上方來確認目的地是否與顯示的文字相符。非預期的急迫性或敏感資料的請求,應視為危險訊號。
技術性監控
在技術層面上,企業可使用入侵偵測系統、入侵防護系統以及深層封包檢查來偵測偽冒的流量。例如 SPF、DKIM 和 DMARC 這類電子郵件認證通訊協定,即有助於驗證訊息是否正常。在偵測 IP 偽冒方面,監控不尋常的流量模式並驗證封包標頭是最基本的。
如何防範偽冒攻擊
要防範偽冒攻擊,必須結合技術性防護與使用者資安意識。
電子郵件驗證機制
導入 SPF、DKIM 與 DMARC,是防範電子郵件偽冒最有效的方法之一,並可避免攻擊者利用您的網域發送偽冒郵件。這些通訊協定可協同驗證寄件人的身分,並封鎖詐騙郵件。
使用多重認證 (MFA)
採用應用程式或硬體 MFA 來取代文字簡訊認證碼,這樣可避免駭客利用偽冒的電話號碼來取得認證碼。就算駭客能掌控您的電話號碼,他們也無法存取您的認證應用程式或硬體金鑰。
防偽冒技術
電信業者和網路資安廠商都提供了垃圾郵件過濾、來電攔截服務,以及 ARP/DHCP 安全工具。Cisco 和其他廠商也提供了進階解決方案來協助發掘及攔截網路層次的偽冒。
個人警戒
在個人方面,您應避免點選可疑連結,遇到非預期的來電,請直接與對方宣稱代表的機構做確認,同時也切勿將驗證碼提供給非預期的聯絡人。
TrendAI 如何協助您防範偽冒攻擊?
偽冒攻擊通常是從一封騙人的電子郵件開始,TrendAI 的 Email and Collaboration Security 電子郵件及協同作業防護是 TrendAI Vision One™ 平台的一環,能提供進階防護來防範電子郵件偽冒、身分冒充、網路釣魚等攻擊,保護您的整個通訊環境。
藉由 AI 驅動的威脅偵測、寄件人驗證 (SPF、DKIM、DMARC) 以及行為分析,TrendAI 能預先攔截偽冒攻擊,不讓它們有機會造成破壞。
看看TrendAI 的 Email and Collaboration Security 如何保護您的企業,在偽冒威脅到達您的使用者之前預先加以防範。
常見問題 (FAQ)
什麼是偽冒?
偽冒是有人冒充成某個受信任的來源來欺騙您,例如使用偽冒的電子郵件、電話號碼或網站。
什麼是電子郵件偽冒?
駭客偽裝成看似正常的電子郵件寄件人地址,誘騙您點選連結或提供資訊。
什麼是電話號碼偽冒?我該如何加以攔截?
電話號碼偽冒是指來電時顯示的電話號碼是假的,請使用來電封鎖程式,並且避免在電話中提供資訊給不明的電話號碼。
如何攔截電子郵件偽冒?
使用 SPF、DKIM 和 DMARC 來認證寄件人並封鎖偽冒的電子郵件。
網路資安領域的偽冒是指什麼?
在網路資安領域,偽冒是指冒充成受信任的來源以竊取資料或存取系統。
什麼是 APR 偽冒?
ARP 偽冒是欺騙網路上的裝置將資料發送給駭客,而不是發送到真正的目的地。