網路釣魚攻擊是一種駭客試圖誘騙您提供敏感資訊的詐騙手法,目的是要騙取您的登入帳號密碼、信用卡卡號,以及企業機敏資訊。此外,也可能會試圖讓您的電腦感染惡意程式。
所謂的「網路釣魚」是指駭客試圖利用連網裝置來從事詐騙的一種攻擊手法。駭客可以藉由手動方式發動攻擊,或利用某種工具將攻擊流程自動化。當然也可以兩者互相搭配,一開始先用腳本工具來突破防線,之後再用手動方式完成攻擊。
「網路釣魚」(phishing) 一詞最早可追溯到 1994 年一群青少年利用手動方式向不知情的美國線上 (AOL) 使用者騙取信用卡卡號。到了 1995 年,他們開發了一個名為「AOHell」的程式來將詐騙的過程自動化。
從此之後,駭客便不斷開發新的伎倆騙取網際網路使用者的各種資料。這些駭客開發了許多程式以及各式各樣至今仍在使用的惡意軟體。這些工具當中有些是專為執行滲透測試 (也就是「經過許可的駭客攻擊」) 而設計。然而,工具一旦落入駭客手中,他們總是會找到一些惡意用途。
多年來,駭客已經開發出專為網路釣魚而設計的惡意軟體。PhishX 就是其中之一,它是為了竊取銀行帳號資料而生,駭客利用 PhishX 來製作冒充知名銀行的網站,而您很可能也是這些銀行的客戶。但這些網站上的電話號碼跟電子郵件地址卻屬於駭客所有,因此,如果您點選「與我們聯繫」(Contact Us) 連結,您所聯繫的對象其實是駭客。
Phishing Frenzy 原本就是一個專門用來進行滲透測試的網路釣魚電子郵件工具,結果,因為 Phishing Frenzy 非常好用,所以也受到許多駭客歡迎。
還有另一個網路釣魚工具是 Swetabhsuman8,這是一個可讓駭客建立假的登入網頁然後竊取 Instagram 帳號的工具。當您在這個網頁上輸入自己的登入資訊時,駭客就可以蒐集到您的帳號 ID 跟密碼。
除了假冒網站、網路釣魚電子郵件工具,以及專門用來竊取登入資訊的惡意登入網頁之外,駭客還會成立電話中心,好讓您在撥打他們電子郵件、假冒網站或文字簡訊當中所附的電話號碼時可以有專人接聽。
現代的勒索病毒集團通常會攻擊較大型的企業以盡可能提高獲利,他們會先花費大量時間來駭入受害者網路的每一個區段,最後才發動勒索病毒攻擊。像這樣多階段式的攻擊,一開始通常都是經由一封網路釣魚郵件來突破企業的防線。
雖然網路釣魚的形態有很多種,不過最普遍也最容易認得的還是網路釣魚電子郵件。這類攻擊越來越精密,並且還發展出所謂的魚叉式網路釣魚 (spear phishing)、網路捕鯨 (whaling)、雷射導引攻擊 (laser-guided attack) 等等。此外,網路釣魚攻擊也從電子郵件擴展到其他通訊平台,如:文字簡訊及社群媒體。
以下是目前見到的幾種網路釣魚攻擊類型:
駭客喜歡攻擊我們的線上世界,他們會架設假冒的網站或登入網頁來蒐集機敏資訊。除了蒐集信用卡卡號、銀行帳號、社群媒體登入憑證之外,駭客還會攻擊您好友或同事的社群媒體頻道。當駭客在駭入了您的帳號之後,他們就會透過私訊來發送網路釣魚連結給您的追蹤者、好友或同事。過去十年,由於社群媒體越來越普及,這項手法也越來越常見。
您有許多方法可以保護自己,最重要的第一件事就是隨時保持警戒。
您可以做的第二件事就是妥善保管好自己的帳號。您的密碼最好至少要接近 20 個字元或更長。您的密碼不需要四種字元變化都有 (大寫、小寫、數字、符號),只要有其中兩種或三種就可以了,但要記得新的密碼千萬不能跟之前的密碼重複。許多人都很難記住自己的密碼,您可以建立一個較長且容易記住的密碼,然後將其他的密碼都鎖在密碼管理軟體內,例如:LastPass 或 Password Safe。
接下來,也是最重要的,就是您的帳號應啟用雙重認證 (2FA)。就算網站只支援透過手機簡訊發送一次性密碼,這還是比單純只靠密碼來得安全。
美國國家標準與技術局 (NIST) 目前已經不再支援透過手機簡訊發送一次性密碼,較好的解決辦法是使用一套工具來產生一次性密碼,例如:Google Authenticator、Microsoft Authenticator、LastPass Authenticator 等等。請在您的帳號設定當中找找看有沒有這些選項。
使用軟體工具來幫您注意一些容易被忽略的層面,使用一套防火牆、防毒軟體、惡意程式防護、網路釣魚防護等工具。此外,也請務必謹慎挑選瀏覽器,您的瀏覽器是否可以過濾網路釣魚,或者是否可以附加一些輔助元件? 如果不行,那請選擇別的瀏覽器。
除了上述針對員工個人的建議之外,企業還應做好以下幾點: