昨天分享完 Confidentiality 其中的「Encryption 加密」後,如果大家對密碼學有興趣的,可以點進密碼學基礎去看看,我覺得這個作者寫的內容整理地蠻完整,裡面有提到很多加密、解密技術,還有一些背景基礎知識。而今天我要給大家分享的是一個日常生活中很常見的攻擊手法:釣魚攻擊(Phishing)
Confidentiality(機密性)在資安三要素中,指的是「資訊不被未授權者取得或窺探」。而 Phishing(釣魚攻擊)正是一種社交工程(Social Engineering)攻擊手法,攻擊者透過偽裝、欺騙的方式,誘使受害者主動洩漏帳號密碼、信用卡卡號、個資等等「機密資訊」。因此,一旦受害者中招,Confidentiality 就會在這邊先跟大家「say goodbye👋」——機敏資料落入攻擊者手中👻,不該看的東西都被看光光了🫣。
所以,phishing 是現在日常生活中破壞 Confidentiality 最常見、最有效的手段之一。
以下跟大家分享六種常見的釣魚種類:
(1) Email Phishing(電子郵件釣魚)
最常見。偽裝成銀行、公司、知名品牌寄送郵件,誘使用戶點擊惡意連結或下載附件。
目標:竊取帳密、安裝惡意程式。
(2) Spear Phishing(標槍式釣魚,又稱魚叉式網路釣魚)
針對「特定目標(如公司高層、特定員工)」量身打造攻擊內容,通常資料更精準。
因此作案的成功率較高,危害更大!☠️
(3) Whaling(捕鯨攻擊,為魚叉式網路攻擊的一種。似商業電子郵件詐騙(BEC)攻擊)
鯨🐳在認知中是很大的魚種對吧,不是一般小蝦小魚可以媲美的(代表要撈個大的!),就是特別指專門針對「企業高階主管(CEO/CFO)」發動的釣魚攻擊。
攻擊內容通常涉及「公司機密」、「財務」等等敏感資料。
(4) SMS Phishing(Smishing,簡訊釣魚)
透過手機簡訊誘使點擊惡意連結或回覆敏感資訊。
(5) Voice Phishing(Vishing,語音釣魚)
假冒銀行、技術支援等客服打電話,誘導受害者說出機密資訊。
語音釣魚近年來對資安的威脅逐漸擴大,像是山形鐵道公司釣魚資安事件被騙近億日圓???😱💸
(6) Social Media Phishing(社群釣魚)
透過 Facebook、LINE、Instagram 等社群平台發送偽造訊息或連結。
"欸你真別說,這種看似從天降下的白吃午餐也是有人會手癢去相信,特別是長者以及某部分年輕一輩。"
- Virustotal -> 非常好用,可以檢查檔案、網站等等
- 此連結是否安全?
(雖然我還是個資安小白><!🐶)
針對 Log 分析的部分,之後幾個章節會特別撰寫相關的技術文章,分享我實習、自學期間分析 Log 的經驗,大家敬請期待😚
相信看完今天的 Phishing 釣魚攻擊手法的各式介紹,大家都對其手法有一些基礎的理解了~也希望大家可以減少今後的被釣走的可能性哈(感情除外?)也算是變相為大家守財了!那今天就先到這邊告一段落啦~草稿的部分,我下次一定會提醒自己記得先儲存的,每寫一點點就按一下儲存草稿,不然像今天一樣 3-4000 字整宗不見,我真的是會原地哭死>< 💀 哈哈哈,我們明天見!
明日預告:Log 怎麼數學跑出來了? Log Analysis 是啥?如何協助偵測機密性威脅?