釣魚攻擊是歹徒試圖欺騙受害者以取得敏感資料的手法,其目標為竊取帳號登入資料、信用卡號碼及其他敏感的公司資料。它亦可能嘗試以惡意程式感染您的電腦。
釣魚攻擊是指利用已連繫裝置試圖進行盜竊的行為。這些行動可以是手動的或是利用工具將程序自動化,亦可以把兩者結合,先利用文本工具為黑客打開大門,然後再手動進行攻擊。
「釣魚攻擊」這名稱在 1994 年出現,當時一群反叛青年以手動方式從不知情的 AOL 用戶盜竊信用卡資料。到 1995 年,他們更創造了一個名為 AOHell 的程式來將工序自動化。
自此以後,歹徒繼續發明了新方法去搜集上網人士的資料,很多由他們創造的惡意程式到今天仍在使用。事實上,其中有些工具是創造來作合法用途的,例如獲授權進行入侵行動的滲透測試,但當一個創造來作良好用途的工具面世後,歹徒都會有方法將它作惡意用途。
多年以來,歹徒創造了很多專門作釣魚攻擊用途的惡意程式,其中 PhishX 就是設計來盜竊銀行資料。利用 PhishX,歹徒會架設一個像真度極高的偽冒銀行網站,其內包括他們的電話號碼及電郵地址,而點擊「聯絡我們」更讓您可以直接與黑客溝通。
名為 Phishing Frenzy 的釣魚電郵工具原本是設計來作滲透測試用途,但這個容易使用的工具卻被黑客用作犯案之用。
另一個名為 Swetabhsuman8 的釣魚工具讓攻擊者可以架設虛假的登入版面來入侵 Instagram 帳號的。當用戶嘗試登入時,黑客就可以搜集用戶帳號及密碼,
黑客不單會架設虛假網站、電郵釣魚工具及偽造的登入版面來盜取資料,他們也會設立電話中心來接聽來電。假如受害者致電在電郵、偽冒網站或是文字訊息上的電話號碼,歹徒就會接聽電話。
現代的勒索程式歹徒都會針對較大型企業以達致最高效益,他們會花大量時間征服受害機構網絡的每一部份,然後才會發動勒索程式攻擊。而這類多段式攻擊一般都由一個釣魚電郵開始。
釣魚攻擊的種類繁多,其中最為人熟識的是釣魚電郵。而隨著魚叉式釣魚、網絡捕鯨及鐳射導航攻擊的出現,此類攻擊亦已日趨精密,並由電郵擴散至其他通訊平台,包括文字訊息及社交媒體。
釣魚攻擊包括:
黑客都喜歡在網上犯案,他們會建立偽冒網站或登入網頁來騙取敏感資料。除了取得您的信用卡號碼、銀行帳號資料及社交媒體憑證外,歹徒也會透過社交媒體針對您的朋友或同事,方法是利用侵入您的社交媒體帳號來向您的追隨者發放直接訊息,進行釣魚攻擊。這是一個很容易成功的手法,因為現時大家都會花很多時間在社交媒體上。
您有很多方法可以保護自己,其中最重要的是要時刻謹慎。
第二步就是要保護您的帳號。您的密碼應包含超過或接近 20 個字,但不一定要包含所有四個選項(大階、細階、數字、符號),而只要有其中兩至三項已經足夠,但在設定新密碼時應改變組合。不過,很多人都有困難記住密碼。您應設定一個自己可以記住的長密碼,然後利用如 LastPass 或 Password Safe 等密碼管理工具來進行管理。
另外一個要點就是要在所有帳戶採用雙重認證。有些網站的唯一選擇就是利用發送一次性密碼短訊至手機來作雙重認證,雖然這已經比單單採用密碼作登入更為優勝,
但美國國家標準暨技術研究院(NIST)已不再支持這種一次性密碼短訊的認證方式。較好的方案就是使用可建立一次性密碼的工具,如 Google Authenticator、Microsoft Authenticator, LastPass Authenticator 及其他類似方案,您可以在帳戶設定中找到這些選項。
採用軟件工具可以協助您發現遺漏的事項,亦應採用防火牆、防毒軟件、反惡意程式軟件及反釣魚工具。您亦應明智地選擇瀏覽器,要了解所用瀏覽器能否提供釣魚攻擊防護,能否加入插件等。假如答案是否定的,您應另選瀏覽器。
除了以上員工建議外,機構亦應: