iT邦幫忙

0

Cyber security -5 Module4 threats to digital asset security

  • 分享至 

  • xImage
  •  
  • social engineering tactics
  • malware
  • web-based exploits

犯罪說服術 The criminal art of persuasion

Social engineering 社會工程學

  • Social engineering is a threat to the assets and privacy of both individuals and organizations.
  • 社會工程學是一種manipulation操縱技術,利用人類錯誤 human error獲取私人信息、訪問權限或價值物品。
  • 利用人們的好奇心、慷慨及興奮感,影響其判斷。
  • 攻擊者利用這些策略使人違反正常的安全程序。

攻擊過程

  • 準備prepare階段:攻擊者收集目標信息以尋找最佳利用方式。
  • 建立信任 attackers establish trust:運用收集gather的情報進行偽裝,讓目標感到信任。預設情境(Pretexting)
  • 說服attackers use persuasion tactics階段:使用特定詞彙以操縱目標,自願提供信息。
  • 斷開聯繫disconnect:收集所需信息後,攻擊者迅速中斷與目標的聯繫。

攻擊類型 Signs of an attack

攻擊類型英文名稱 定義 舉例 適用防範措施
Baiting 透過誘惑人員妥協安全的方式。 讓人找到感染的USB隨身碟並插入設備。 提升員工安全意識,避免隨意插入未知的設備;使用防病毒軟體。
Phishing 通過數位通信詐騙使用者揭露敏感資料。 email詐騙,誘使用戶點擊惡意連結或提供個人資訊。 實施電子郵件過濾;檢查發件人地址;避免點擊未知連結或附件。
Quid pro quo互惠 誘使目標提供資訊或金錢,並聲稱會有回報。 假冒貸款專員提供較低利率,要求提供帳號資訊。 驗證來電或發件人身份;避免在未核實的情況下提供敏感資訊。
Tailgating 尾隨 未經授權人士跟隨授權人進入受限區域。 未佩戴識別證的人員尾隨進入公司辦公室。 實施門禁卡或多因素身份驗證;員工保持警覺,不允許陌生人尾隨進入。
Watering hole灌溉池 駭客攻擊特定群體經常訪問的網站,植入惡意軟體。 2020年「聖水攻擊」感染宗教及志工網站。 使用網路過濾器;限制對特定網站的訪問;定期更新瀏覽器和插件的安全補丁。

預防措施

  • 實施管理控制,如政策和標準policies/standards/procedures,是防禦的首要步驟。
  • 了解行業趨勢,與他人分享相關知識可加強防禦。
  • 教育他人識別攻擊跡象,有助於預防威脅。
  • Control curiosity 控制好奇心,對可疑附件或連結保持警惕。
  • Stay alert 警覺可疑通信及陌生人,尤其是電子郵件。
  • Be cautious 注意在社群媒體上分享資訊,因為威脅行為者可能利用這些資訊。
  • 實施技術防護:防火牆、多因素身份驗證(MFA)、黑名單、電子郵件過濾。
  • 理想情況下,安全培訓應擴及至客戶,教育他們關於社會工程威脅以減少這些威脅的發生。

Phishing攻擊概述

項目 內容
定義 透過email數位通訊欺騙人們揭露敏感資料或安裝惡意軟件
影響範圍 影響個人和組織,單一員工的失誤可導致系統安全威脅
使用的工具 1. 惡意附件 2. 假資料收集表單 3. 虛假網站連結
攻擊形式 1. Smishing簡訊 2. Vishing電話
防範措施 反釣魚政策、員工培訓、郵件安全、入侵防護系統
總結 Phishing攻擊構成重大威脅,提高識別能力關鍵

phishing kits(釣魚工具包)

  • 是攻擊者的一種高效工具,大幅提升了釣魚攻擊的便利性與有效性,
  • 釣魚工具包是由網絡犯罪者設計的整合工具,目的是簡化釣魚攻擊的過程。這些套件通常包含模板、腳本、流程設計或其他技術資源,讓攻擊者能夠更輕鬆地佈署釣魚攻擊。
  • 內容通常包含:
    • 假電子郵件模板:用於模仿真實公司或機構的郵件,吸引受害者點擊。
    • 虛假的登錄頁面:仿造真實網站的外觀,用於誘導受害者輸入他們的敏感信息,如用戶名和密碼。
    • 自動化工具:用於管理被盜數據、追蹤誰開啟了釣魚郵件等。

phushibg kit tools :

  1. 惡意附件(Malicious attachments)
    惡意附件 (malicious attachments),這類附件通常是以文件、圖片或其他文件格式的形式出現,但它其實攜帶了惡意軟體病毒或木馬程式。一旦這些附件被打開,攻擊者便可能藉由此機會入侵組織的系統,造成系統損壞、數據洩露等後果。

  2. 釣魚工具的假數據收集表單(Fake-data collection forms)
    常見的釣魚手段——假數據收集表單。這些假表單通常設計得與實際的合法表單十分相似,比如問卷調查或其他數據收集表單。然而,與真正的調查表不同的是,這些偽造表單要求用戶輸入敏感信息,比如帳號密碼、身份證明或銀行卡資訊等,這些通常不應該出現在合法表單中。

  3. 虛假的網絡連結(Fraudulent web links)
    這些連結會指向仿冒的惡意網站,而這些網站通常模仿知名品牌的官方網站。例如,可能做成看似銀行或電商平台的官方頁面,以誘騙用戶信任。這些網站的真實目的是竊取用戶的敏感資料,例如登錄憑據、支付信息等等。

Smishing

  • 相對普遍的詐騙方式
  • 影響不僅是在個人層面,還涉及資訊安全的挑戰,攻擊者正是利用了這一困難點頻繁發動攻擊。
  • 兩種類型的 Smishing:
    • 容易察覺的情況:包含明顯的惡意跡象,如附加的連結承諾現金獎勵。這些手段簡單粗暴,容易引起警覺。
    • 難以識別的情況:攻擊者使用更高級的手段,比如採用本地區號碼,讓簡訊看起來更可信,甚至冒充目標的朋友或家人,增加獲取機密信息的成功率。

Vishing

是利用電子語音通信來獲取敏感信息或冒充可信來源,攻擊者通常假裝是公司代表,聲稱您的帳戶有問題,並要求提供敏感信息以解決問題。

安全措施 功能 優點 缺點
** anti-phishing policies反網路釣魚政策與用戶意識** 制定政策並提高員工對釣魚攻擊的警覺性,鼓勵遵守數據安全程序。 - 增加員工的安全意識,減少錯誤點擊風險- 成本低,適合所有組織實施 - 效果依賴於員工的自律性與學習能力- 無法防禦技術性釣魚攻擊
Employee training resources 員工訓練資源 提供專門的培訓資源,幫助員工識別可疑郵件的特徵,例如拼寫錯誤或不合邏輯的請求。 - 增強員工的辨識能力- 減少因社交工程攻擊造成的損失 - 培訓需要時間與資源投入- 無法完全防止新型釣魚手法
電子郵件過濾器securing email inboxes 使用過濾技術攔截有害郵件,例如通過封鎖列表(Blocklist)和允許列表(Allowlist)。 - 自動化保護,減少人工干預- 攔截大部分已知威脅 - 無法防禦未知或變種攻擊- 可能誤判合法郵件為垃圾郵件
入侵預防系統intrusion prevention systems (IPS) 監測電子郵件流量中的異常模式,識別並隔離可疑郵件,並記錄事件日誌供後續分析。 - 高度自動化,適合大型組織- 提供詳細的日誌記錄,便於調查與改進防禦策略 - 成本高,需要專業人員維護- 可能出現誤報,導致額外的人工審核工作

目的與作用:

  • 釣魚工具包的目的是使技術水平不高的攻擊者也能夠發起釣魚攻擊,降低技術門檻,讓更多人能參與這類不法行為。
  • 這些工具大多是商業化或透過暗網(Dark Web)交易取得,甚至有些攻擊者專門出售這些工具。

危害與影響:

  • 並對個人和組織帶來嚴重的安全威脅。
  • 組織層面:釣魚工具套件會加劇網絡釣魚的頻率與規模。例如,一名員工如果誤中釣魚工具攻擊,可能導致整個公司的客戶數據、商業機密等被非法存取。
    個人層面:釣魚攻擊經常造成財務損失及個人隱私暴露。

釣魚攻擊5種類型

類型 描述
Email Phishing 通過電子郵件發送假冒合法機構的消息以獲取個人資訊。
Smishing 利用短信(SMS)發動的釣魚攻擊,包含所有類型的文本消息服務。
Vishing 通過語音通話或語音消息進行的釣魚攻擊,目的是誘使受害者提供個人信息。
Spear Phishing 針對式 是電子郵件釣魚的一種子類別,其中特定人物被有目的地作為攻擊目標,例如小型企業的會計人員。
Whaling 專門針對組織內高層管理人員的釣魚攻擊。

釣魚攻擊的演變

時期 特徵
1990年代 釣魚攻擊起源,早期針對AOL Instant Messenger用戶,通過偽造郵件竊取帳戶信息。
2000年代 隨著電子商務與在線支付系統普及,釣魚技術進化,出現針對電商與銀行網站的惡意軟件攻擊。
2010年代至今 攻擊從大規模釣魚轉向目標釣魚,使用社交媒體等新技術進行高度定制化攻擊,例如angler phishing。

釣魚式客服詐騙(Angler Phishing)

  • 釣魚式客服詐騙的定義:
    這是一種類型的目標性釣魚,攻擊者利用受害者對社交媒體客服的信任,在社群服務平台(如推特、臉書)中假冒客戶服務。
  • 此方法的起源:
    • 由於現代網路使用者傾向於在社群媒體或留言板上公開抱怨企業,攻擊者意識到這是一個好機會。
    • 他們攔截用戶的不滿及抱怨,利用假帳號假冒正規客服人員,並聯絡受害者。

釣魚攻擊的優缺點比較

特徵 優點 缺點
大規模釣魚 (Mass Phishing) 可快速觸及大量潛在受害者,增加成功率。 隨著用戶意識提高,成功率降低。
定向釣魚 (Targeted Phishing) 高度定制化,增加成功機率。 需要更多時間和資源來精心準備。

提醒

  • 網絡釣魚的手段日益複雜,沒有完美的技術解決方案可以完全防止這些攻擊。
  • 提高意識和教育是減少損失的重要方法,安全專業人員應負責培訓他人識別釣魚攻擊的形式。

相關資源

資源名稱 描述
Google的釣魚測驗 幫助用戶了解識別釣魚攻擊的困難。
Phishing.org 提供最新的釣魚趨勢報導和免費資源。
Anti-Phishing Working Group 發布每季度的釣魚趨勢報告,幫助安全專業人士了解最新威脅。

圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言