對於網路犯罪分子而言,魚叉式網路釣魚(Spear phishing)與網路釣魚(phishing)方法在成效上差異不大;雖然魚叉式網路釣魚攻擊通常需要更長時間才能成功執行,但往往能帶來更高的最終報酬。隨著資安防禦日益強化,攻擊者也不斷演化其手法,以取得對網路、系統及敏感資訊的未授權存取。儘管網路攻擊(Cyber Attack) 的新聞屢見不鮮,且企業在員工網路安全(Cybersecurity) 訓練方面越來越嚴格,魚叉式網路釣魚與網路釣魚攻擊仍持續,讓即使是具資安觀念的使用者也會誤入陷阱。
什麼是魚叉式網路釣魚?
魚叉式網路釣魚是網路釣魚的一個分支,透過量身打造的訊息,鎖定特定個人或群體(例如公司高層或特定職務的人員)進行攻擊。這類訊息通常會加入受害者的姓名及其他細節,以提升訊息的可信度。
魚叉式網路釣魚所使用的客製化訊息,在於讓目標相信內容是真實並且可信的。攻擊者會事先進行資料蒐集,以吸引這些策略性目標,例如:
- 目標的姓名
- 目標感興趣的訊息,例如財務資訊(例如 CEO 的最新銷售數據)或個人感興趣的時事(例如社群媒體上關注的議題)
- 同事、家人或朋友的姓名,及這些人可能有的需求
魚叉式網路釣魚訊息透過電子郵件傳送,目的在誘騙目標開啟惡意連結或執行有害的下載。
魚叉式網路釣魚攻擊的最終目標各不相同,但常見目標包括竊取敏感資訊、取得網路存取權限以植入惡意軟體(Malware)為未來攻擊鋪路,以及獲取財務利益。
魚叉式網路釣魚的子類別包括:
- 捕鯨式(Whaling)或大型目標(Big Game)攻擊是以大型企業的高階主管為目標。
- CEO 詐欺(CEO fraud)攻擊是針對基層員工發動的手法,透過偽造來自高層主管(如 CEO)或同事的訊息進行欺騙。這些訊息通常以緊急狀況為由,施加壓力並誘使員工在未經授權的情況下採取行動。
- 複製網路釣魚(Clone phishing)攻擊會攔截目標的訊息,並偽造其先前收到的真實電子郵件,再將其中的合法連結與附件替換成惡意內容。常見被用來進行複製釣魚的郵件類型包括帳單通知與包裹追蹤資訊。
什麼是網路釣魚?
這種網路攻擊也稱為群體式網路釣魚,其目標是針對一個大型群體,例如某個組織的員工,透過各種方式(例如電子郵件、語音郵件或簡訊)傳送相同版本的訊息。一般網路釣魚是最簡單的網路釣魚攻擊類型。
網路釣魚攻擊是透過電子郵件、簡訊(簡訊網路釣魚或稱為 SMS 網路釣魚)或電話(Vishing 或稱為語音網路釣魚)向大量個人或組織傳送惡意訊息。商業電子郵件入侵 (business email compromise, BEC) 是網路釣魚的一種類型,攻擊者會偽造電子郵件地址,使其看起來像是來自合法來源。
網路釣魚攻擊的常見特徵是:
- 寄件者冒充真人或實體。
- 這類通訊的目的是誘騙受害者透過惡意附件與連結下載惡意軟體或分享敏感資訊(例如信用卡號、銀行帳號或身份證號碼)。
魚叉式網路釣魚與網路釣魚之間的差異
魚叉式網路釣魚與網路釣魚有許多共同特色。然而,它們之間存在明顯差異,包括以下幾點,這些差異有助於決定應採取哪些資安防護措施來加以防範。
攻擊者會進行研究,以制定針對個人或小型群體的高度客製化訊息內容。 | 通用訊息會以群發形式傳送給一大群人。 |
|---|---|
複雜的社交工程(Social Engineering)策略用於透過一系列溝通來建立關係並提高信任。 | 一次性訊息中常被刻意加入緊迫感,以誘使收件人在未經深思的情況下採取行動。 |
受害者是經過精心挑選後才接收到這些訊息的。 | 受害者通常是隨機挑選的,屬於大規模詐騙行動的一部分。 |
其目標是獲取高額回報,例如竊取敏感資訊,或誘騙某人進行大筆匯款。 | 其目標是獲取較小型的利益,例如密碼或信用卡資訊。 |
這類攻擊通常是以人工方式執行的。 | 這類攻擊通常採用自動化方式進行。 |
這些攻擊手法非常高明且複雜。 | 這些攻擊手法相當基本且簡單。 |
成功的攻擊會造成重大傷害。 | 攻擊的結果是造成一些金錢的損失。 |
魚叉式網路釣魚攻擊往往難以辨識。 | 網路釣魚攻擊很容易被發現。 |
保護企業免受魚叉式網路釣魚攻擊的技巧
用於偵測、防護與緩解魚叉式網路釣魚與網路釣魚攻擊的工具與流程類似,但也存在一些明顯的差異,例如:
- 加強對潛在受害者帳戶的監控
- 讓潛在受害者意識到他們可能成為魚叉式網路釣魚的目標
- 針對可能成為目標的人員,進行有關魚叉式網路釣魚郵件特徵的教育訓練
針對魚叉式網路釣魚與網路釣魚的常見防護建議包括:
- 進行資安觀念的培訓,特別是以下幾點:
- 幫助使用者辨識網路釣魚的警訊,例如拼字錯誤、文法錯誤、帶有威脅性的語氣、強調緊急性,或要求提供個人資訊或金錢
- 教育使用者在開啟或點擊訊息或 URL 前,學會如何驗證電子郵件地址與 URL(統一資源定位器)
- 教導使用者避免點擊彈出視窗、附件及連結
- 設定 SPF(Sender Policy Framework , 寄件者原則框架)、DKIM(DomainKeys Identified Mail , 網域金鑰識別郵件)與 DMARC(Domain-based Message Authentication, Reporting & Conformance , 基於網域的訊息驗證、報告與一致性)以防止電子郵件網域遭到偽造
- 加密所有敏感訊息
- 實施嚴格的密碼政策,而不僅僅是要求使用者定期更換密碼
- 實施多因子驗證(MFA , Multi-Factor Authentication)或其他存取解決方案
- 保持系統與軟體為最新版本,並安裝所有最新修補程式
- 監控使用者、系統與應用程式,以偵測惡意活動的跡象
- 定期執行備份,並制定業務持續運作計畫
- 掃描進站訊息中常見的惡意軟體(Malware)附件類型,例如 exe、HTA 和 PDF 檔案
- 使用具備人工智慧技術的反網路釣魚安全解決方案,以過濾並偵測可疑訊息
- 使用防火牆阻擋惡意軟體的對外連線流量
魚叉式網路釣魚與網路釣魚:哪一個造成的傷害較大?
在評估魚叉式網路釣魚與網路釣魚哪個更危險時,並沒有明確的結果。兩者雖然都是技術門檻相對較低的網路攻擊手法,但對組織而言仍然構成重大風險。
儘管資安防護技術已發展多年,人為錯誤與疏忽仍然存在,導致技術性安全控制措施失效。毫無疑問,網路安全解決方案有助於降低魚叉式網路釣魚與網路釣魚的攻擊成效,但只有透過資安觀念訓練來改變使用者的行為,才能阻止這些攻擊的持續擴散。
