釣魚攻擊是黑客利用社交工程技巧,透過電郵竊取個人或公司資料的手法,它有效的原因就是能在用戶不知情之下進行。
釣魚攻擊在 90 年代中已經開始存在,當時一群青少年決定利用 AOL 聊天室的功能來假冒是 AOL 的管理員。他們竊取其他用戶的信用卡號碼來讓他們永久免費使用 AOL 服務。
AOL 提供了一個「新會員聊天室」的功能來讓用戶到聊天室尋求使用上的協助。這群黑客創立了一些看似 AOL 系統管理員的帳號 (如「BillingAccounting」),然後告訴用戶說他們的帳號發生問題。
用戶需要提供信用卡號碼來解決問題,而黑客們就可以從中取得信用卡資料來為自己付費。釣魚攻擊這個名詞亦在此時被創造出來。今天,釣魚攻擊主要與電郵詐騙有關,並持續盛行。根據 Verizon 2021 Data Breach Investigations Report (DBIR) 報告指出,36% 的入侵活動都涉及釣魚攻擊。
釣魚攻擊主要依賴社交工程進行,因此所有用戶都要了解攻擊者如何利用人性弱點來進行攻擊。首先,黑客會利用社交工程來說服用戶做出一些他們平常不會做的行為,
就像簡單的要求一個人將大門打開一樣。同樣地,另一個社交工程案例就是將標示為「家庭照片」的 USB 手指掉在停車場,如果有人拾到 USB 手指及將它插入電腦,其內的惡意程式就會安裝在電腦內,從而侵入電腦。很明顯這是一個誘餌。
釣魚攻擊很多時都與一般的電郵攻擊有關,攻擊者會假冒如 PayPal 或美國銀行等大型機構,向大量電郵戶口發出電郵。
電郵會表示有關帳號已經被入侵,而用戶需要馬上點擊連結來確認帳號的合法性。此連結通常作出以下兩項行動的其中一樣,亦有可能同時作出兩項行動:
多年來釣魚攻擊已進化至包含針對不同種類資料的攻擊,除了金錢外,歹徒也會針對敏感資料或照片。
釣魚攻擊是黑客入侵用戶的手段,可能包括單一或是一連串的行動。電郵釣魚一般都因為其內容的文法錯漏百出及錯字眾多而很容易被識別,但攻擊者也在不斷改善及採取更尖端的技術來犯案。然而很多簡單的攻擊依然會取得成效,他們都會利用人類的感情,包括控制慾、怒火及好奇心來誘騙用戶。
在 2011 年對 RSA 的攻擊只是針對了機構內四名人員,而用作攻擊的電郵並不複雜,但卻因針對了特定人員而取得成功,這電郵包含一個名為「2011 招聘計劃」的 Excel 檔案附件,並成功引起了這些人的興趣。
釣魚攻擊的種類繁多,包括傳統的電郵攻擊、社交媒體攻擊及名稱稀奇古怪的攻擊,例如短訊釣魚和語音釣魚。
短訊釣魚是利用流動裝置進行的獨特攻擊。今時今日,流動裝置的銷售量已經超越個人電腦,黑客亦轉而利用此平台盜竊個人資料。他們會發出短訊予手機用戶,謊稱他們的帳號出現問題,並要求用戶致電以解決問題。假如用戶致電回覆,就會有真正的歹徒或其聘請的「員工」來回應電話。
假如用戶沒有因短訊而上當,歹徒會致電用戶:「您的戶口已被攻擊,您需要確認戶口資料以解決事件。」 歹徒的成功率視乎打出電話的數量而定,這就是語音釣魚攻擊。
了解短訊釣魚。
社交媒體已成為網上世界的主要部份,而黑客也會利用它來針對用戶。其中一個在 Facebook 常見的攻擊,就是在朋友的帳號上貼文說某種貨品大減價,以吸引其他人點擊這個大減價連結。要進行這類攻擊,黑客先要取得一個帳戶的登入權限,
而這亦很容易進行。因為假如有公司的網上伺服器被入侵並導致密碼洩漏,黑客會使用所洩漏的電郵及密碼組合來嘗試登入 Facebook 及 LinkedIn 等常用平台。
了解社交媒體釣魚。
隨著用戶的知識水平提高及不再容易墮入網絡釣魚陷阱,歹徒也創造了新的攻擊手法。網址嫁接入侵用戶電腦上域名系統(DNS)的緩衝記憶體,這通常以路過式下載方式進行。
在用戶瀏覽網站及點擊連結時,攻擊者會利用網站通常保安不足情況進行攻擊。他們很容易的就可以修改網站的 HTML 文本,在用戶進入或點擊網站時下載其資訊。
假如用戶沒有點擊一個關於銀行戶口已被入侵的電郵內的連結,黑客只須等待用戶登上銀行網站,被修改的 DNS 緩衝記憶體資料會將用戶轉接至黑客假冒的銀行網站。當受害者鍵入用戶名稱及密碼後,黑客就可以取得他的銀行戶口資料,登入其銀行戶口及為所欲為。
我們有很多獨特方法可以保護自己:
除了以上員工建議外,機構亦應: