一起鎖定某跨國企業法務部門三名員工的「魚叉式網路釣魚(Spear Phishing)」郵件能逞嗎?
針對性攻擊要能成功,很重要的一點是歹徒必須根據受害者的防禦機制而調整及改進其攻擊方法,其中包含「魚叉式網路釣魚(Spear Phishing)」
魚叉式網路釣魚通常鎖定特定個人或某機構的特定員工及其社群媒體帳號 (如 Twitter、Facebook 和 LinkedIn),它們會精心製作出很有說服力的電子郵件內容,並且在電子郵件當中挾帶可造成感染的附件檔案和連結。一旦開啟檔案或連結,就會執行惡意程式或將使用者導向某個網站。接下來,駭客就能建立其祕密通訊網路,然後朝攻擊的下一階段邁進。
檢視「防範魚叉式網路釣魚:保護電子郵件如何能夠防止針對性攻擊」
2015年稍早,醫療保險公司 Anthem Inc. 發出聲明表示自己發生了一起大規模的資料外洩,導致 8,000 萬名客戶受到影響。根據媒體報導,駭客經由一項精密的針對性攻擊/鎖定目標攻擊(Targeted attack ) 取得了進入 Anthem 公司 IT 系統的權限,進而竊取系統上儲存的個人資料。有些人對於企業資料外洩事件或許略知一二,但很少有人知道實際發生的經過以及網路犯罪集團所用的手法。
在所謂的「針對性攻擊/鎖定目標攻擊(Targeted attack ) 」當中,駭客必須擁有相當高的專業技能以及充裕的資源來進行這類長期的計謀。針對性攻擊要能成功,很重要的一點是歹徒必須根據受害者的防禦機制而調整及改進其攻擊方法。
駭客會利用各種最新時事、業務相關內容,以及攻擊目標可能有興趣的資訊來從事社交工程(social engineering )攻擊。此外,後門程式、零時差或軟體漏洞攻擊、水坑式攻擊、魚叉式網路釣魚等等,也是歹徒經常用來竊取資訊的技巧。
雖然一般的網路釣魚(Phishing)和魚叉式網路釣魚所使用的技巧類似,但兩者之間還是有所差別。網路釣魚基本上是一種針對大量目標的亂槍打鳥式攻擊,但魚叉式網路釣魚則是專門針對特定目標。兩者的差異在於,一般的網路釣魚(Phishing)相對單純,歹徒一旦偷到受害人的資料 (如網路銀行登入資訊),就算達到目的。但對於魚叉式網路釣魚來說,取得登入資訊或個人資訊通常只是攻擊的開端,這是歹徒進入目標網路的手段,只能算是的跳板而已針對性攻擊/鎖定目標攻擊(Targeted attack ) 。
何謂魚叉式網路釣魚攻擊?
前面提到,魚叉式網路釣魚是專門針對特定對象的網路釣魚(Phishing),其對象通常是某個機構,其最終目標是取得機密資訊,其技巧則包括:假冒他人名義、使用迷人的誘餌、避開安全機制 (如電子郵件過濾及防毒) 等等。預算和一般網路釣魚(Phishing)的都會誘騙目標對象開啟郵件中的附件檔案或點選郵件中的連結。
最近曾有一個魚叉式網路釣魚案例是假冒 Electronic Frontier Foundation (電子新領域基金會,簡稱 EFF)。根據報導,歹徒註冊了一個冒充 EFF 官方網站的網域來讓使用者不懷疑魚叉式網路釣魚郵件的真偽。趨勢科技發現,該案件似乎是某個更大攻擊行動的其中一環 (也就是Pawn Storm),後者是一起背後可能有俄羅斯政府涉入的針對性攻擊行動。
經由這項攻擊,我們又發現了另一起事件,這起事件的魚叉式網路釣魚郵件專門鎖定某營業額數十億的跨國企業法務部門三名員工。所幸,沒有任何一位人員點選了郵件內的惡意連結。事後證明,該公司正在打一起重大的商業官司,所以駭客很顯然想藉此從事商業間諜活動。
魚叉式網路釣魚如何運作?
魚叉式網路釣魚通常鎖定特定個人或某機構的特定員工及其社群媒體帳號 (如 Twitter、Facebook 和 LinkedIn),它們會精心製作出很有說服力的電子郵件內容,並且在電子郵件當中挾帶可造成感染的附件檔案和連結。一旦開啟檔案或連結,就會執行惡意程式或將使用者導向某個網站。接下來,駭客就能建立其祕密通訊網路,然後朝攻擊的下一階段邁進。
防範魚叉式網路釣魚
任何型態的網路釣魚最終都可能造成敏感資料外流,因此若是放任這些郵件不管,企業最終可能遭到針對性攻擊/鎖定目標攻擊(Targeted attack ) 攻擊,進而導致大規模資料外洩,例如:JP Morgan、Home Depot 和 Target 等知名案例,全部都因為魚叉式網路釣魚所引起。這些企業因為客戶資料外洩而損失了數百萬美元。
現在,許多中小企業也和上述案例中的大型企業一樣,開始成為歹徒的攻擊對象,因為駭客視這些中小企業為滲透大型企業的跳板。除此之外,中小企業的 IT 人員相對不足,資安防護措施也相對較差,因此駭客更容易入侵。
由於電子郵件是針對性攻擊入侵企業最普遍的管道,因此,防範魚叉式網路釣魚攻擊是一項非常重要的工作。而要防範網路釣魚,員工的教育就非常重要。訓練員工觀察郵件內的拼字錯誤、奇怪用詞,以及其他可疑的徵兆,就能預防一定程度的魚叉式網路釣魚。但除此之外,企業還需要更完整的多層次防護,來讓系統管理員確切掌握及掌控網路的狀況,進而降低針對性攻擊的風險,防範各種攻擊途徑。
趨勢科技的Custom Defense客製化防禦能迅速偵測、分析、回應進階鎖定針對性攻擊/鎖定目標攻擊(Targeted attack )。在防範魚叉式網路釣魚方面,有趨勢科技 Deep Discovery Email Inspector 能在大多數針對性攻擊的初期階段就發現並攔截魚叉式網路釣魚郵件。讓企業無形中增加了一道額外的檢查,發掘一般標準電子郵件防護無法偵測的惡意內容、附件以及 URL 連結,降低您遭受攻擊的危險。
此外還有,趨勢科技 Smart Protection Suite 可廣泛結合各種端點及行動裝置的威脅防護能力,包括:社交工程攻擊防護、新增主機檢查以及進階威脅掃瞄引擎,確保電子郵件的安全。
請參閱隨附的圖文解說來看看保護電子郵件如何能夠防止針對性攻擊/鎖定目標攻擊(Targeted attack ) 。
原文出處:Spear Phishing 101: What is Spear Phishing?
跨平台的趨勢科技 PC-cillin,透過最新網頁偵測技術,自動封鎖惡意網頁及詐騙網址,在接觸到可疑詐騙網址前搶先攔阻,大幅減少個資外洩及錢財損失的風險! ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用 
