攻擊類型英文名稱 | 定義 | 舉例 | 適用防範措施 |
---|---|---|---|
Baiting | 透過誘惑人員妥協安全的方式。 | 讓人找到感染的USB隨身碟並插入設備。 | 提升員工安全意識,避免隨意插入未知的設備;使用防病毒軟體。 |
Phishing | 通過數位通信詐騙使用者揭露敏感資料。 | email詐騙,誘使用戶點擊惡意連結或提供個人資訊。 | 實施電子郵件過濾;檢查發件人地址;避免點擊未知連結或附件。 |
Quid pro quo互惠 | 誘使目標提供資訊或金錢,並聲稱會有回報。 | 假冒貸款專員提供較低利率,要求提供帳號資訊。 | 驗證來電或發件人身份;避免在未核實的情況下提供敏感資訊。 |
Tailgating 尾隨 | 未經授權人士跟隨授權人進入受限區域。 | 未佩戴識別證的人員尾隨進入公司辦公室。 | 實施門禁卡或多因素身份驗證;員工保持警覺,不允許陌生人尾隨進入。 |
Watering hole灌溉池 | 駭客攻擊特定群體經常訪問的網站,植入惡意軟體。 | 2020年「聖水攻擊」感染宗教及志工網站。 | 使用網路過濾器;限制對特定網站的訪問;定期更新瀏覽器和插件的安全補丁。 |
項目 | 內容 |
---|---|
定義 | 透過email數位通訊欺騙人們揭露敏感資料或安裝惡意軟件 |
影響範圍 | 影響個人和組織,單一員工的失誤可導致系統安全威脅 |
使用的工具 | 1. 惡意附件 2. 假資料收集表單 3. 虛假網站連結 |
攻擊形式 | 1. Smishing簡訊 2. Vishing電話 |
防範措施 | 反釣魚政策、員工培訓、郵件安全、入侵防護系統 |
總結 | Phishing攻擊構成重大威脅,提高識別能力關鍵 |
惡意附件(Malicious attachments)
惡意附件 (malicious attachments),這類附件通常是以文件、圖片或其他文件格式的形式出現,但它其實攜帶了惡意軟體病毒或木馬程式。一旦這些附件被打開,攻擊者便可能藉由此機會入侵組織的系統,造成系統損壞、數據洩露等後果。
釣魚工具的假數據收集表單(Fake-data collection forms)
常見的釣魚手段——假數據收集表單。這些假表單通常設計得與實際的合法表單十分相似,比如問卷調查或其他數據收集表單。然而,與真正的調查表不同的是,這些偽造表單要求用戶輸入敏感信息,比如帳號密碼、身份證明或銀行卡資訊等,這些通常不應該出現在合法表單中。
虛假的網絡連結(Fraudulent web links)
這些連結會指向仿冒的惡意網站,而這些網站通常模仿知名品牌的官方網站。例如,可能做成看似銀行或電商平台的官方頁面,以誘騙用戶信任。這些網站的真實目的是竊取用戶的敏感資料,例如登錄憑據、支付信息等等。
是利用電子語音通信來獲取敏感信息或冒充可信來源,攻擊者通常假裝是公司代表,聲稱您的帳戶有問題,並要求提供敏感信息以解決問題。
安全措施 | 功能 | 優點 | 缺點 |
---|---|---|---|
** anti-phishing policies反網路釣魚政策與用戶意識** | 制定政策並提高員工對釣魚攻擊的警覺性,鼓勵遵守數據安全程序。 | - 增加員工的安全意識,減少錯誤點擊風險- 成本低,適合所有組織實施 | - 效果依賴於員工的自律性與學習能力- 無法防禦技術性釣魚攻擊 |
Employee training resources 員工訓練資源 | 提供專門的培訓資源,幫助員工識別可疑郵件的特徵,例如拼寫錯誤或不合邏輯的請求。 | - 增強員工的辨識能力- 減少因社交工程攻擊造成的損失 | - 培訓需要時間與資源投入- 無法完全防止新型釣魚手法 |
電子郵件過濾器securing email inboxes | 使用過濾技術攔截有害郵件,例如通過封鎖列表(Blocklist)和允許列表(Allowlist)。 | - 自動化保護,減少人工干預- 攔截大部分已知威脅 | - 無法防禦未知或變種攻擊- 可能誤判合法郵件為垃圾郵件 |
入侵預防系統intrusion prevention systems (IPS) | 監測電子郵件流量中的異常模式,識別並隔離可疑郵件,並記錄事件日誌供後續分析。 | - 高度自動化,適合大型組織- 提供詳細的日誌記錄,便於調查與改進防禦策略 | - 成本高,需要專業人員維護- 可能出現誤報,導致額外的人工審核工作 |
類型 | 描述 |
---|---|
Email Phishing | 通過電子郵件發送假冒合法機構的消息以獲取個人資訊。 |
Smishing | 利用短信(SMS)發動的釣魚攻擊,包含所有類型的文本消息服務。 |
Vishing | 通過語音通話或語音消息進行的釣魚攻擊,目的是誘使受害者提供個人信息。 |
Spear Phishing 針對式 | 是電子郵件釣魚的一種子類別,其中特定人物被有目的地作為攻擊目標,例如小型企業的會計人員。 |
Whaling | 專門針對組織內高層管理人員的釣魚攻擊。 |
時期 | 特徵 |
---|---|
1990年代 | 釣魚攻擊起源,早期針對AOL Instant Messenger用戶,通過偽造郵件竊取帳戶信息。 |
2000年代 | 隨著電子商務與在線支付系統普及,釣魚技術進化,出現針對電商與銀行網站的惡意軟件攻擊。 |
2010年代至今 | 攻擊從大規模釣魚轉向目標釣魚,使用社交媒體等新技術進行高度定制化攻擊,例如angler phishing。 |
特徵 | 優點 | 缺點 |
---|---|---|
大規模釣魚 (Mass Phishing) | 可快速觸及大量潛在受害者,增加成功率。 | 隨著用戶意識提高,成功率降低。 |
定向釣魚 (Targeted Phishing) | 高度定制化,增加成功機率。 | 需要更多時間和資源來精心準備。 |
資源名稱 | 描述 |
---|---|
Google的釣魚測驗 | 幫助用戶了解識別釣魚攻擊的困難。 |
Phishing.org | 提供最新的釣魚趨勢報導和免費資源。 |
Anti-Phishing Working Group | 發布每季度的釣魚趨勢報告,幫助安全專業人士了解最新威脅。 |