10 個誤點率高的網路釣魚類型,每天有100 次掉進駭客陷阱的風險!

【人,是最大安全漏洞】員工誤開有毒信,成為重大資安新聞事件共通點

一封冒稱健保局的「二代健保補充保險費扣繳辦法說明」,導致萬筆中小企業個資遭竊,登上媒體版面;報導指出美國遭遇史上最大宗聯邦僱員個資遭駭案;可能導因於駭客將病毒電郵偽裝成同事間電郵,誘使收件人開啟,導致400萬筆個資遭竊;無獨有偶 員工誤開有毒郵件,日本國民年金機構外洩125萬筆個資!日本國民年金機構對外證實,由於職員使用電腦時開啟含病毒的電子郵件,導致機關內保存的國民年金相關個資外洩,目前已確定有125萬筆國民個資外洩。

 

最近大舉入侵台灣的勒索軟體 Ransomware 也經常使用類似的社交工程(social engineering )信件的手法,達到綁架電腦的目的。比如趨勢科技部落格報導過的這篇 勒索軟體假冒 Chrome,Facebook 和 PayPal發網路釣魚電子郵件。”員工滿意度調查”、”免費星巴克”、”個人簡歷”….都是過去曾機發生過的網路釣魚信件主旨。(詳見本文誤點率高的十個網路釣魚主題類型 )

 

phishing 0608 HD

 

不要以為只有大咖會被攻擊,一般用戶也得在點擊滑鼠前三思

員工信箱是 APT 目標攻擊最佳掩護攻擊的進入點,比如攻擊者偽造來自特定部門或目標辦公室內高階主管的電子郵件;電子偽裝成來資訊部門的系統更新通知….,這則新聞 CNN:俄羅斯駭進白宮 得手歐巴馬非公開行程也是以釣魚信件成功入侵白宮電腦系統。不要再以為只有大咖會被攻擊 ,本文將介紹10 個誤點率高的網路釣魚類型,如果你是中小型的企業,你不能指望免於這類型的攻擊。除了要確保員工的安全教育,中小型組織應該要找到結合郵件安全和終端防護的組合方案。一般用戶,也得在點擊滑鼠前三思而後行,因為以好奇心為誘餌的社交工程(social engineering )就在你身邊

【 胸多吉少!! 搜尋”武媚娘傳奇有胸版”, 當心病毒上身】

因低胸古裝惹爭議,被技術修改成「大頭貼」的武媚娘傳奇,意外激發網友想一窺「有胸版」原貌,提醒粉絲們小心危險網頁藏暗器,肉眼難辨認。趨勢科技PC-cillin雲端版用戶請放心,當搜尋“武媚娘傳奇有胸版”時,如果搜尋結果出現惡意網址會顯示紅色(如下圖)

武媚娘兇多吉少 胸多吉少!! 搜尋武媚娘一刀未剪版, 當心病毒上身 *PC-ciilin 2015 雲端版以不同顏色主動預警並封鎖惡意連結,防止您的上網裝置感染病毒【免費下載試用】
PC-cillin  雲端版以不同顏色主動預警並封鎖惡意連結,防止您的上網裝置感染病毒

 

好奇心是最大的漏洞
一封冒稱健保局的「二代健保補充保險費扣繳辦法說明」,導致萬筆中小企業個資遭竊
一封偽裝銀行交易紀錄信件,導致南韓爆發史上最大駭客攻擊
996 名公僕因為一封標題為「李宗瑞影片,趕快下載呦!」信件, 好奇點閱中了資安陷阱

以上這些社交工程(social engineering )信件,都曾經登上媒體頭條新聞

根據趨勢科技統計,一般員工平均每個工作日會收到100封電子郵件,等於我們每天有100次掉進駭客陷阱的風險。 有個案例,假冒寄件人,偽造公家單位、企業行政部門幾乎人手一張的辦公日曆表檔案,連寄件人應該稱呼收件人「老師」都沒弄錯,犯罪手法的精準度令人不寒而慄。
phishing 8

這樣的網路釣魚信件  69%的人每週都碰到,25% 高階員工被釣得逞,類似的案例還有:

  • 武媚娘有胸版影片
  • 遠離黑心食品
  • 這篇文章看了讓你多活 10 年
  • 行政機關辦公日曆表
  • 拍賣網站的 iPhone 新年特價超便宜?!
  • 二代健保補充保險費扣繳辦法說明

 

phishing6

無法區分詐騙信件”是網路釣魚得逞關鍵
新的年度開始、熱門的食安議題,很容易讓人家鬆懈心防,不自覺的點擊了滑鼠,“無法區分詐騙信件”網路釣魚得逞關鍵,還記得「李宗瑞影片,趕快下載呦!」政府單位以這測試信,導致 996 名員工好奇點閱「中招」,點閱員工分十梯上2小時的資訊安全課程。

此類郵件藉由勾起使用者的好奇心,一個郵件標題、一個附件檔名,就能讓使用者 Click滑鼠進行散播,我們稱之為社交工程陷阱( Social Engineering)

 


PC-cillin 雲端版榮獲 AV-TEST 「最佳防護(Best Protection) 」獎,領先28 款家用資安產品

AV_TEST1200x627(W2)趨勢科技PC-cillin雲端版 ,以不同顏色主動預警並封鎖惡意連結,防止您的上網裝置感染病毒,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻▶免費下載


誤點率高的十個網路釣魚主題類型

以下為大家整理了常見”誤點率高的十個網路釣魚主題類型”:

一.熱門韓劇最新影片

瘋「來自星星的你」大結局,當心中毒!很多標示「全集」、「大結局」的連結夾帶木馬
駭客跟你一樣愛的電影:哈比人,安妮,特納先生

movie

二.滿足偷窺慾

喝醉酒女孩影片連結
「李宗瑞影片,趕快下載呦!」
臉書個人檔案檢視器 (Facebook Profile Viewer)

三.與工作相關公文

人事部門收到的個人簡歷phishing 7

"員工滿意度調查”導致公司被目標攻擊

四.全民關心度高的議題

41 歲高中學歷嫌犯因為不爽被罰錢 冒健保局散播電腦病毒,該嫌透過網路自學成為駭客,因不滿被健保局罰錢,冒用健保局名義,寄發內含竊取個資木馬的惡意郵件,至少已經竊取一萬多筆個資。該報導中還指出警另查出,潘嫌替友人組裝電腦,還暗中安裝木馬程式,用來監視友人上網情況,請看: 駭客跟你一樣關心「二代健保補充保險費扣繳辦法說明」–假冒健保局名義信件夾毒發送中!!

五.恐懼心理

phishing7

假防毒軟體裝神弄鬼, 新北市王同學付費解毒愈解愈毒(認識假防毒軟體 Fake AV)

警方:你因觸犯法規電腦遭鎖定,必須支付罰款才能解除鎖定~警察勒索程式,假警察真詐財

有人從不明位置存取我的facebook,要驗證帳號解除鎖定卻被網路釣魚!

臉書網路釣魚,假「安全檢查」,真騙信用卡帳號


六.貪小便宜

假星巴克Starbucks 網路問卷騙局,要求利用Facebook和Twitter 分享, 換取的禮物竟是手機簡訊費

拍賣網站的 iPhone  新年特價超便宜?!

家庭主婦最愛的 “網路賺錢方法”

Twitter送的麥當勞禮品卡,成人網站在裡面?!

 

七.新產品或服務

iPhone網路釣魚(Phishing)郵件,隨蘋果發表會同步亮相

人氣行動應用遊戲出現 Android 山寨版,下載後強迫放送廣告

Windows Update 更新後竟出現中毒警告訊息?! 原來是山寨版


八.名人相關

打開金正日相片,木馬尾隨而來,殭屍大軍伺機招募

從[成龍之死]看惡作劇新聞的傳播力與預防之道

 

九.新功能

安裝這個可以拿到別人的 facebook 臉書密碼?!是詐騙!

想更換Facebook情人節專屬布景嗎?小心上網被監視

好奇誰取消關注你的 Twitter?點下去你成垃圾大王

 

十.熱門新聞事件

韓國開戰 假防毒軟體埋伏幕後 當心”找”麻煩

「失蹤的馬航真的在印度降落了!!」「馬航 370 五分鐘短片」病毒在裡面!!

防止網路釣魚找上你四步驟

以下是我檢查是否為網路釣魚(Phishing)的清單,以及該做和不能做的事情。有些建議來自Jason Hong(卡內基美隆資工系的助理教授)的文章 – 「The State of Phishing Attacks(關於網路釣魚)」,和微軟Security and Safety Center網站上的「How to Recognize Phishing Email Messages, Links or Phone Calls(如何識別釣魚郵件、連結或電話)」 。

 

1.點選連結前,先移動滑鼠檢查真實來源
大部分的網路釣魚(Phishing)訊息都希望讓人進入會收集個人資料的惡意網站。現在這些電子郵件或其他形式訊息都是用HTML格式,所以可能會讓你在不知不覺下連到惡意網站。因為每個連結都有可能出現和實際網址不符的文字。

例如,以下連結似乎都指向Google:

(1)http://www.google.com

(2)http://www.google.com

(3)click here to go to Google(按這裡去Google)。

將滑鼠箭頭停在這些連結上,你可以在左下方瀏覽器狀態列上看到他們的實際網址(通常在瀏覽器或電子郵件軟體視窗的底部)

2.收到要求提供個人資料的電子郵件要小心,即使信中有該公司的商標

如果你收到一封要求你提供任何個人資料的郵件,即使裡面有正常公司的圖示和標識,有很大的機會那是封詐騙郵件。大多數公司會要求你直接到他們的網站登入來進行交易。如果你收到這樣一封電子郵件,那最好直接聯繫該公司以確認真偽。而且不要使用電子郵件內的聯絡人資料,請到公司官方網站與他們聯繫。

 

3.小心那些威脅要錢的電子郵件或其他訊息。
不要被那些威脅說除你把錢給他們,不然就要採取法律行動的郵件所騙,或是試圖說服你去捐錢給從未聽過的可疑慈善事業。如果你真的擔心這威脅是否真實或這慈善單位是否合法,請連絡該單位以驗證其合法性,並且直接和他們交易。不要因為緊張就忘記小心了。

請參考:海燕颱風重創菲律賓 線上賑災提防詐欺:別讓愛心 成為駭客提款機(含歷年天災詐騙伎倆大揭發)

4.檢查郵件內是否有拼寫錯誤和語法錯誤。
有信譽的公司不會希望看起來不專業,所以當你收到寫得錯字連篇或是不通順的郵件時就有可能是假的。

處理這類郵件的方法之一,就是不要點任何連結,而是直接上這郵件聲稱來源的公司網站。這時候你就可以查證是否有這封偽造電子郵件所聲稱的問題了。

 

免費下載 防毒軟體 PC-cillin 試用版下載

趨勢科技PC-cillin雲端版 ,*不同顏色主動預警並封鎖惡意連結,防止您的上網裝置感染病毒,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻【免費下載
推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!
【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比

 

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知新增到興趣主題清單,重要通知與好康不漏接

 

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

 

◎ 歡迎加入趨勢科技社群網站