從近期重大攻擊事件,看網路釣魚手法
儘管網路釣魚(Phishing)相對於今日媒體上經常看到的精密攻擊似乎已經過時,但它仍是一項持續不斷的威脅。歹徒依然能夠透過一些新的手法來竊取企業的重要資料、珍貴資產,甚至破壞營運基礎架構。
7月初全球第四大數位貨幣交易所 Bithumb 的一位員工 遭駭,歹徒偷走了一批聯絡人電話、電子郵件地址等等,接著,歹徒利用偷來的資訊發動一波網路釣魚攻擊,但卻使用以往罕見的手法。同樣地,數位貨幣 Ethereum (乙太幣) 的用戶也在同月遭到攻擊。根據報導,駭客藉由網路釣魚手法在短短 6天之內海撈了 70 萬美元。
除了數位貨幣之外,美國能源機構與關鍵基礎架構也遭到持續性網路釣魚攻擊。其嚴重程度甚至引起美國聯邦調查局 (FBI) 和國土安全部 (Homeland Security) 的關注,並發出警告通知各機關嚴加防範。根據 媒體報導,這些網路釣魚電子郵件使用了一項罕見的技巧來蒐集受害者資訊。
趨勢科技為了協助使用者了解並防範這些新的威脅,以下將詳細介紹最近幾次攻擊所用的手法和技巧:
陳年伎倆:語音釣魚,導致南韓數位貨幣交易所損失超過數十億韓元
傳統的網路釣魚詐騙都是假冒知名機構的名義發出電子郵寄,接著,不是誘騙受害者輸入帳號密碼,就是將受害者重導至惡意網站。但前面提到的 Bithumb 攻擊案例卻用了一個陳年的老技巧:語音釣魚 (vishing)。歹徒利用從 Bithumb 員工偷來的資料, 假冒成 Bithumb 高階主管打電話給受害者,謊稱受害者的帳戶遭駭客入侵,要求受害者提供密碼和其他重要的帳戶安全資訊。根據媒體報導,受害者損失超過數十億韓元 (該交易所位於南韓)。
語音釣魚不像網路釣魚那樣大家耳熟能詳,而且它比其他詐騙手法更加仰賴社交工程技巧,因此,歹徒能否得逞全看他是否露出破綻,是否能完全掌控受害者的心理。在該案例中,歹徒從 Bithumb 偷到的資訊或許是他們的成功關鍵,因為歹徒在撥打電話時,已明確掌握受害者帳戶的詳細資訊,因此會讓人覺得相當可信,且不易露出破綻。
小眾網路論壇釣大魚: 假冒論壇管理員名義,通知論壇成員檢查自己的帳戶,騙帳號密碼 繼續閱讀
資安趨勢部落格
