iT邦幫忙

2024 iThome 鐵人賽

DAY 29
0
Security

資安新手的試煉之路系列 第 29

資安新手的試煉之路Day 29

  • 分享至 

  • xImage
  •  

今天來聊聊網路釣魚(Phishing)與防範手段

網路釣魚(Phishing)是一種常見的社交工程攻擊手段,攻擊者通常冒充可信任的機構或個人,通過電子郵件、短信、電話等渠道,誘使受害者點擊惡意連結、提供敏感信息或下載惡意軟體。網路釣魚攻擊往往以盜取憑據(如帳戶名稱和密碼)、個人資料或銀行信息為目的,並可能進一步用於身份盜竊、金融欺詐等。


網路釣魚的工作原理

  1. 偽裝與欺騙

    • 攻擊者通常會偽造合法機構(如銀行、政府部門、公司內部)的電子郵件或網站,利用受害者對這些機構的信任來誘導受害者點擊惡意連結或下載附件。
  2. 誘使行動

    • 網路釣魚電子郵件通常帶有強烈的緊急感或引發受害者好奇心,如“您的帳戶即將被鎖定”、“您收到一筆新的付款”,從而讓受害者急於回應。
  3. 取得敏感信息

    • 一旦受害者點擊惡意連結,通常會被重定向到一個偽造的登入頁面,該頁面看似合法,實際上是攻擊者用來收集憑據或個人資料的工具。
  4. 持續滲透或勒索

    • 攻擊者一旦獲取受害者的敏感信息,可以用來登入受害者的帳戶、進行金融詐騙,或者安裝勒索軟體進行進一步的攻擊。

常見的網路釣魚類型

  1. 電子郵件釣魚(Email Phishing)

    • 這是最普遍的網路釣魚攻擊方式,攻擊者通過偽造的電子郵件向大量目標群發,目的是誘導他們點擊惡意連結或附件。這些郵件通常偽裝成銀行通知、網購平台或知名公司的信息。
  2. 針對性網路釣魚(Spear Phishing)

    • 與一般釣魚攻擊不同,Spear Phishing 是針對特定目標進行的精準攻擊,攻擊者事先蒐集到目標的個人信息,進而設計特定的郵件或訊息來迷惑受害者,增加其可信度。
  3. Whaling(鯨魚攻擊)

    • 鯨魚攻擊是專門針對高階管理者或企業決策者的釣魚攻擊。這類攻擊往往通過偽造的商業交易信息或重要的法律文件來誘騙受害者。
  4. 短信釣魚(Smishing)

    • 攻擊者通過短信發送釣魚連結或要求受害者撥打虛假的客服電話,並誘導其提供個人或銀行信息。
  5. 語音釣魚(Vishing)

    • Vishing 是通過電話進行的釣魚攻擊,攻擊者冒充合法的機構,要求受害者提供敏感信息,或騙取受害者的金錢。
  6. 社交媒體釣魚

    • 攻擊者利用社交媒體上的假帳號或偽裝成受害者的朋友或同事,發送私人訊息以誘騙其提供個人資料或點擊惡意連結。

網路釣魚的實際案例

  1. Google 和 Facebook 騙局

    • 2013 年至 2015 年間,一名立陶宛男子成功從 Google 和 Facebook 詐騙了超過 1 億美元。他使用偽造的發票及電子郵件,冒充這兩家科技巨頭的供應商,要求付款,最終兩家公司中招,付款給了詐騙者的銀行帳戶。
  2. 英國 NHS(國家醫療服務)網路釣魚攻擊

    • 在 COVID-19 大流行期間,攻擊者利用大眾對疫苗接種的關注,向英國 NHS 員工發送偽造的電子郵件,聲稱需要他們確認個人健康信息,從而獲取敏感數據。

網路釣魚攻擊的防範措施

  1. 安全意識培訓

    • 定期對員工進行網路釣魚攻擊防範培訓,教導如何識別可疑電子郵件、連結和訊息。例如,遇到緊急或不尋常的要求時,應該採取驗證程序來確保信息的真實性。
  2. 電子郵件過濾與反釣魚技術

    • 使用先進的電子郵件過濾技術來識別並阻擋釣魚郵件。現代的電子郵件系統通常會配備自動識別功能,可以標記或直接過濾掉疑似釣魚郵件。
  3. 多因素驗證(MFA)

    • 啟用多因素驗證作為額外的防禦層,即便攻擊者獲得了憑據,仍然需要通過額外的驗證步驟(如手機認證碼)才能訪問帳戶,從而降低攻擊成功率。
  4. 避免點擊可疑連結

    • 提醒員工和用戶不要輕易點擊電子郵件中的可疑連結,尤其是當這些連結要求立即提供憑據或進行不尋常的操作時,應該直接訪問官方網站以進行驗證。
  5. 檢查網址與電子郵件地址

    • 當收到可疑的電子郵件時,仔細檢查發件人的地址是否為官方來源,並檢查網址是否與真實的機構域名相符。攻擊者常常使用相似但細微不同的域名來欺騙受害者,例如使用 “g00gle.com” 代替 “google.com”。
  6. 限制高權限操作

    • 對於涉及資金轉移或敏感信息存取的操作,應該設置多層次的審批程序,並要求多重認證。此外,員工不應該擁有過多權限,避免因釣魚攻擊而造成更大範圍的損害。
  7. 使用密碼管理器

    • 密碼管理器能夠自動填充正確的憑據,若網站並非真實的目標網站(例如釣魚網站),管理器不會自動填充,這有助於防範受害者無意中向惡意網站提交敏感信息。
  8. 快速響應與事件處理

    • 組織應設立快速響應機制,當員工懷疑遭遇網路釣魚攻擊時,應立即報告並啟動應急程序,以迅速隔離威脅,並進行事件調查和恢復。

結論

網路釣魚是一種高效且具有欺騙性的攻擊方式,它利用了人類心理中的信任和恐懼來達到目的。雖然技術手段(如電子郵件過濾、MFA、反釣魚軟體)可以有效減少這類攻擊,但最重要的防禦仍然在於用戶和員工的安全意識。透過不斷提升個人和企業的安全意識,配合多層次的防護措施,能有效降低網路釣魚攻擊的風險。


上一篇
資安新手的試煉之路Day 28
下一篇
資安新手的試煉之路 Day 30
系列文
資安新手的試煉之路30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言