企業藍隊為何必須了解網路釣魚攻擊

1. 網路釣魚攻擊普遍且代價高昂
   • 釣魚是駭客最常用的攻擊方式之一
   • 可能導致財務損失、資料外洩和信譽受損
2. 攻擊形式多樣化
   • 攻擊者不斷發展新策略和技術
   • 藍隊需了解不同類型的攻擊,如偷竊密碼、惡意附件等
3. 難以偵測
   • 攻擊者使用社交工程技術,偽裝成合法來源
   • 藍隊需訓練才能識別細微的可疑跡象
4. 組織中任何人都可能成為目標
   • 從高階主管到普通員工都可能受到攻擊
   • 需要教育所有員工了解威脅並自我保護
5. 利用人性弱點
   • 針對人為因素而非技術系統的弱點
   • 使攻擊更具效果且難以防禦
6. 可能導致進一步攻擊
   • 成功的偵察郵件可能導致更多惡意攻擊

全面了解網路釣魚攻擊對藍隊至關重要，才能制定有效的防禦策略，保護組織安全。藍隊需要不斷學習新的攻擊手法，並教育員工提高警惕。

企業藍隊學習網路釣魚的提問方向

一、 現象與議題：

• 網路釣魚攻擊日益猖獗，企業如何有效提升防禦能力？
  • 現象：網路釣魚攻擊越來越難以偵測，尤其是針對高階主管的"捕鯨攻擊"。
  • 問題：企業如何教育員工、尤其是高階主管，提升對網路釣魚攻擊的警覺性並採取有效的防範措施？
  • 參考答案：可以教育員工如何識別可疑電子郵件，例如檢查發件人地址、連結和附件。
• 網路釣魚攻擊手法不斷演進，企業藍隊如何保持最新的知識和技能？
  • 現象：偵察電子郵件越來越複雜，從單純的正文內容到利用社交工程學和追蹤像素。
  • 問題：企業藍隊如何學習最新的網路釣魚攻擊技術，例如分析惡意文件，以應對不斷變化的威脅？
  • 參考答案：企業可以考慮讓藍隊成員參加網路安全研討會和培訓，或獲得相關的網路安全認證。
• 如何模擬真實的網路釣魚攻擊，讓企業藍隊在安全的環境中進行實戰演練？
  • 現象：企業需要鼓勵員工積極舉報可疑郵件，即使可能存在誤報。
  • 參考：“讓員工舉報被證明是誤報的電子郵件並不一定是壞事。它表明使用者正在報告他們認為可疑的電子郵件，這可以說比他們根本不報告任何內容要好。只需一封電子郵件即可危及系統和網路，因此我們確信大多數組織寧願處理一些誤報，而不是錯過真正的惡意電子郵件。”
  • 問題：如何在不危及企業系統和網路安全的前提下，設計逼真的網路釣魚演練，讓藍隊成員學習如何識別和應對攻擊？
  • 參考答案：企業可以利用模擬網路釣魚攻擊的平台，讓員工在安全的環境中練習識別和應對攻擊。

二、 人際溝通與深度理解

• 如何提升企業內部對網路釣魚攻擊的認知和重視程度？
  • 現象：部分員工可能輕忽網路釣魚攻擊的危害，認為誤報無傷大雅。
  • 問題：如何讓所有員工了解網路釣魚攻擊的嚴重性，並積極參與到防禦工作中？
  • 參考答案：企業可以舉辦網路安全意識培訓，讓員工了解網路釣魚攻擊的後果，以及如何保護自己和公司。
• 如何建立有效的溝通機制，讓企業藍隊成員能夠及時分享情報和協同應對攻擊？
  • 現象：高階主管的私人助理在偵測網路釣魚郵件方面扮演著重要角色。
  • 問題：如何建立暢通的溝通管道，讓藍隊成員、高階主管助理和安全團隊之間能够有效地協作，共同防範網路釣魚攻擊？
  • 參考答案：企業可以建立一個專門的溝通管道，例如電子郵件地址、聊天群組或內部論壇，供藍隊成員分享情報和協調應對措施。

三、 企業藍隊學習網路釣魚的目標

• 藍隊成員最終需要達到什麼樣的技能水平，才能夠有效地防禦網路釣魚攻擊？
  • 目標：藍隊成員能夠識別和分類可疑或惡意電子郵件。
  • 參考答案：他們還應該能夠採取適當的行動來減輕攻擊，例如向安全團隊報告可疑電子郵件，並將其從收件匣中刪除。
• 如何評估企業藍隊在網路釣魚防禦方面的能力，並持續改進訓練和演練方案？
  • 目標： 建立一套評估體系，衡量藍隊成員的學習成果，並根據評估結果調整訓練方向，以提升整體防禦能力。
  • 參考答案：企業可以定期進行網路釣魚模擬演練，並追蹤員工的表現。他們還可以收集員工對培訓和演練的回饋，並利用這些回饋來改進他們的計劃。

如何尋找釣魚信件樣本(在台灣)

• Google
  • 社交工程信件樣本
  • 查看 .pdf
    

網路釣魚的種類

1. 捕鯨攻擊 (Whaling)

目標： 組織內高階管理人員，例如營運長（COO）、執行長（CEO）和財務長（CFO）。

攻擊手法： 利用開源情報(OSINT)收集目標資訊，精心設計高度客製化的電子郵件，誘騙目標下載惡意軟體、洩露憑證或機密資訊。

特點： 發送量小、針對性強、偽裝性高，難以被安全工具或團隊察覺。

防範措施：

• 對高階管理層進行安全意識培訓。
• 標記外部電子郵件。
• 實施資料遺失防護策略。
• 對高階管理人員的助理進行專門培訓。

2. 語音釣魚 (Vishing) 和簡訊詐騙 (Smishing)

攻擊媒介： 電話 (Vishing) 和簡訊 (Smishing)。

攻擊手法：

• Vishing: 攻擊者透過電話與受害者直接語音通話，利用社交工程技巧騙取敏感資訊，例如財務資訊或企業帳戶。
• Smishing: 攻擊者透過簡訊發送釣魚連結，誘騙受害者提供個人資訊（PII）或銀行資訊（PCI）。

特點：

• 安全團隊通常難以監控公司或員工的手機簡訊。
• 攻擊者利用語音或簡訊的即時性和隱蔽性提高成功率。

防範措施：

• 進行使用者安全意識培訓，提高對可疑電話和簡訊的警覺性。
• 謹慎點擊來自未知號碼的連結或執行相關操作。
• 使用「勿擾模式」和「反詐騙」功能。
• 設定內部授權碼，驗證身份。
• 實施職責分離制度，降低單一帳戶的權限。

3. 垃圾郵件 (Spam)

定義： 未經請求、不需要或意外的郵件，但本質上不一定具有惡意。

常見類型：

• 新聞通訊
• 行銷郵件
• 更新公告

特點：

• 發送量大，通常透過購買郵件地址列表進行傳播。
• 部分垃圾郵件可能包含惡意連結或附件，需要謹慎處理。

防範措施：

• 不要點擊來自未知發件人的連結或開啟附件。
• 使用垃圾郵件過濾器。
• 定期清理郵箱，避免重要郵件被淹沒。

4. 偵察郵件 (Recon Emails)

目的： 驗證目標郵箱是否有效，為後一步的網路釣魚攻擊做準備。

常見類型：

• 包含隨機字母的垃圾郵件。
• 使用社交工程技巧誘導回覆的郵件。
• 使用追蹤像素監控郵件開啟情況的郵件。

特點：

• 通常不包含惡意連結或附件，難以被安全軟體攔截。
• 攻擊者透過分析郵件狀態和追蹤數據判斷攻擊目標。

防範措施：

• 警惕任何可疑的電子郵件，即使看起來無害。
• 不要回覆來自未知發件人的電子郵件。
• 禁用電子郵件客戶端的自動圖像加載功能，防止追蹤像素生效。

5. 憑證收集器 (Credential Harvester)

目的： 竊取用戶的帳戶憑證，例如用戶名、密碼等。

攻擊手法： 模仿合法網站或服務的登入頁面，誘騙用戶輸入憑證。

特點：

• 通常使用熱門網站或服務作為誘餌，例如 Outlook、Amazon、DHL 等。
• 偽造的登入頁面通常與真實頁面非常相似，難以分辨。

防範措施：

• 仔細檢查瀏覽器地址欄的網址，確認是否為官方網站。
• 不要點擊來自電子郵件中的連結登入重要帳戶，應直接在瀏覽器中輸入網址。
• 使用密碼管理器，避免重複使用相同的密碼。

6. 惡意文件 (Malicious File)

目的： 將惡意軟體植入受害者設備。

傳播方式：

• 惡意附件：例如包含惡意巨集的 Microsoft Office 文件。
• 託管惡意軟體的網站：誘騙用戶點擊連結下載並運行惡意軟體。

特點：

• 攻擊者通常會偽裝文件類型，例如將惡意軟體偽裝成圖片、文檔或壓縮包。
• 攻擊者會利用社交工程學技巧，誘使用戶打開惡意文件。

防範措施：

• 不要打開來自未知發件人的附件。
• 在打開附件之前，請先使用安全軟體進行掃描。
• 保持作業系統和軟體更新到最新版本，修復已知的漏洞。

7. 社交工程 (Social Engineering)

定義： 利用心理學手段操控人們的行為，誘騙其洩露資訊或執行特定操作。

常見策略：

• 製造緊迫感
• 利用權威影響
• 假冒身份
• 博取同情

特點：

• 攻擊目標是人而非系統，利用人性弱點進行攻擊。
• 社交工程攻擊可以與其他網路釣魚攻擊手段結合使用，提高成功率。

防範措施：

• 提高安全意識，了解常見的社交工程攻擊策略。
• 保持警惕，不要輕易相信陌生人或洩露個人資訊。
• 在執行任何重要操作之前，請先仔細核實資訊來源。

捕鯨攻擊、語音網路釣魚和簡訊網路釣魚的比較

社交工程技巧

攻擊者會利用社交工程技巧，讓受害者相信網路釣魚訊息是合法的。 這些技巧包括：

• 權威: 假冒成來自可信任的來源，例如政府機構、銀行或知名公司。
• 緊急: 營造一種緊急情況，例如帳戶被盜用或錯過重要截止日期，迫使受害者在沒有仔細思考的情況下採取行動。
• 稀缺性: 提供限時優惠或獨家機會，誘使受害者快速採取行動。
• 熟悉: 使用目標的個人資訊，例如姓名、地址或工作單位，讓訊息看起來更可信。
• 恐嚇: 威脅受害者，如果他們不採取行動就會產生負面後果，例如法律訴訟或財務損失。

範例:

攻擊者可能會發送一封電子郵件，假冒成銀行代表，聲稱受害者的帳戶有可疑活動。電子郵件可能會要求受害者點擊連結以驗證他們的帳戶。然而，這個連結實際上會將受害者帶到一個假冒的網站，該網站會竊取他們的登錄憑據。

組織降低風險的措施

組織可以採取以下措施來降低員工成為網路釣魚攻擊受害者的風險：

• 安全意識培訓: 教育員工如何識別網路釣魚攻擊，包括常見的技巧和策略。
• 模擬網路釣魚演練: 定期進行模擬網路釣魚演練，以測試員工的意識和應變能力。
• 電子郵件安全解決方案: 實施電子郵件安全解決方案，例如垃圾郵件過濾器和防病毒軟體，以阻止惡意郵件到達員工的收件匣。
• 多因素驗證: 為所有帳戶啟用多因素驗證，即使攻擊者竊取了員工的密碼，也無法訪問他們的帳戶。
• 建立舉報機制: 鼓勵員工舉報任何可疑的電子郵件或活動。

惡意檔案和託管惡意軟體的比較

未來網路釣魚攻擊的發展趨勢

• 更複雜的社交工程技巧: 攻擊者將繼續使用更複雜的社交工程技巧，讓他們的攻擊更難以偵測。
• 人工智慧和機器學習: 人工智慧和機器學習將被用於自動化網路釣魚攻擊，並使它們更難以防禦。
• 針對行動裝置的攻擊: 隨著越來越多的人使用行動裝置訪問網際網路，針對行動裝置的網路釣魚攻擊將會增加。
• 利用新興技術: 攻擊者將利用新興技術，例如雲端運算和物聯網，發動新的網路釣魚攻擊。

組織和個人應對新威脅的措施

• 保持最新的威脅資訊: 組織和個人應該隨時了解最新的網路釣魚攻擊趨勢和技術。
• 持續改進安全措施: 組織應該持續改進其安全措施，以應對不斷變化的威脅。
• 提高警覺: 個人應該在網路上保持警覺，並對可疑的電子郵件、網站和簡訊保持警惕。

實作: 如何練習查看釣魚信件

• 使用 google 官方提供演練平台
  • https://phishingquiz.withgoogle.com/
    

實作: 使用 Gmail 觀察信件

使用 gmail 觀察信件結構

1. 進入 gmail 點選任一封信件
2. 點選右邊的選單
   
3. 點選顯示原始郵件
   
4. 查看原始郵件
   

MIME-Version: 1.0
Date: Sat, 21 Sep 2024 23:17:33 +0800
Message-ID: <CAKA9G1XF45EOqS1PFNAsMtznsg529x_3D0v+ZTtFcD5iPk9HaA@mail.gmail.com>
Subject: test
From: X X <testqqwqq@gmail.com>
To: testqqaqq@gmail.com
Content-Type: multipart/alternative; boundary="000000000000ab59e40622a2a79b"

--000000000000ab59e40622a2a79b
Content-Type: text/plain; charset="UTF-8"

test

--000000000000ab59e40622a2a79b
Content-Type: text/html; charset="UTF-8"

<div dir="ltr">test<br></div>

--000000000000ab59e40622a2a79b--

結構解釋

這封電子郵件可以分為兩個主要部分

1. 標頭(Header)
2. 正文(Body)

標頭(Header)

標頭包含了關於這封電子郵件的重要資訊:

1. MIME-Version: 這是電子郵件使用的技術標準版本。
2. Date: 發送郵件的日期和時間。
3. Message-ID: 這封郵件的唯一識別碼，就像郵件的身份證號碼。
4. Subject: 郵件的主題，這裡是"test"。
5. From: 寄件人的資訊。
6. To: 收件人的郵箱地址。
7. Content-Type: 說明郵件內容的類型。這裡顯示郵件包含多種格式(multipart/alternative)。

正文(Body)

正文包含郵件的實際內容:

1. 純文本版本(text/plain):
   • 只包含簡單的文字"test"。
2. HTML版本(text/html):
   • 包含相同的"test"文字,但是以HTML格式呈現,可以在支持HTML的郵件客戶端中顯示更豐富的格式。

這種結構允許郵件在不同的郵件客戶端中都能正確顯示,無論該客戶端是否支持HTML。

思考

「觀察原始郵件」的價值

• 標頭解析方法可以比對寄件人姓名與郵箱地址是否匹配、查看發件人地址是否可疑等

補充說明郵件正文 (Body)

• 正文可能會出現隨機字母的垃圾郵件

結合實際案例，提升讀者防禦意識

• 許多釣魚都使用高度模仿真實網站的技巧，讓使用者難以分辨真偽