隨著網網路釣魚攻擊屢創歷史新高,網路釣魚服務 (PhaaS) 正在將這項原本需要高超技巧的攻擊變成一種付費服務產業。PhaaS 降低了歹徒從事勒索病毒攻擊的門檻,這意味著網路犯罪活動以及您公司成為受害者的風險都將增加。
根據 Verizon 的調查,有 78% 的企業在 2021 年曾經遭遇電子郵件夾帶的勒索病毒攻擊。此外,有 1,500 萬封網路釣魚郵件內含惡意程式可能直接導致勒索病毒感染。新冠肺炎(COVID-19)疫情的爆發使得網路釣魚攻擊暴增,根據趨勢科技資料顯示,光 2020 年就 成長了 137.6% 。
電子郵件攻擊數量暴增有部分原因可歸諸於「犯罪服務」(Crime as a Service,簡稱 CaaS) 這項新興趨勢的崛起。這類專業犯罪集團是由具備各種不同專業技巧的駭客所組成,包括:勒索病毒服務 (Ransomware as a Service,簡稱 RaaS)、存取服務 (Access as a Service,簡稱 AaaS) 以及近期的網路釣魚服務 (Phishing as a Service,簡稱 PhaaS)。
儘管電子郵件依然是網路犯罪集團突破企業防線最常使用的管道,但由於先天上的特性使然,網路釣魚攻擊輕輕鬆鬆就讓企業一年損失將近 1,500 萬美元。這是因為網路釣魚在很短的期間內從單純的預付費用詐騙(advanced-fee scam)演變成 PhaaS 的精密社交工程攻擊。企業的受攻擊面風險管理 (ASRM) 若要有效,必須在駭客經常突破企業防線的管道上架設主動防禦。
編按:預付費詐騙(advanced-fee scam)是一種先取得受害者信任的詐騙手法,詐騙者承諾會給受害者大賺一筆,但是需預先支付「手續費」才可以提領這筆資金。
奈及利亞詐騙也是屬於此種詐騙類型。有人會寄送電子郵件聲稱自己來自奈及利亞或其他非洲國家的富裕家族,希望你可以幫他們轉移財產。他們聲稱會提供財產的一部分來換取執行計畫所需要的費用。
進一步了解犯罪服務集團 (CaaS):
何謂網路釣魚服務 (PhaaS)?
就像 RaaS 或 AaaS 一樣,這項服務幾乎能讓任何人 (甚至對網路資安僅有初淺認識的人) 發動一波網路釣魚攻擊 (通常是以賺錢為目的並經由電子郵件)。此時駭客集團扮演的是「服務供應者」的角色,並收取一定的費用 (一般為每天 15 美元起跳) 和/或一部分的贖金作為報酬。除此之外,有心從事詐騙的歹徒也可購買所謂的「網路釣魚套件」,單一費率 40 美元起跳 (有些集團甚至還會舉辦黑色星期五(網購星期五)促銷活動並提供更大優惠)。
這類套件包含了發動網路釣魚攻擊所需的功能和工具,一般包括:電子郵件範本、假網站範本、潛在攻擊目標通訊錄、詳細的攻擊步驟說明以及「客戶支援」。
一些最新的技術,如 ChatGPT 也讓網路釣魚攻擊變得更容易。這款 AI 聊天機器人已證明有能力寫出讓人類無法看出機器人痕跡的電子郵件,不但拼字和文法完美無瑕,而且能更快跟上最新的新聞時事。此外,它內建的翻譯功能還可讓英文能力較差的駭客寫出動人且高品質的網路釣魚郵件。
根據 CNBC 的報導,美國加州一位名叫 Cody Mullenaux 的 40 歲小型企業老闆被一個使用網路釣魚套件的犯罪集團詐騙了 12 萬美元以上。
在美國,銀行雖然必須賠償客戶在這類攻擊中被盜的金額,但其管轄法律「電子金融轉帳法」(Electronic Fund Transfer Act) 並不保護電匯詐騙的受害者,因此 Mullenaux 也無法挽回損失。
正如 Cody Mullenaux 的案例顯示,PhaaS 降低了歹徒從事勒索病毒攻擊的門檻。這意味著網路犯罪活動以及您公司成為受害者的風險都將增加。
電子郵件資安最佳實務原則
由於 PhaaS 這項新威脅加劇了原本就已相當盛行的勒索病毒疫情,您企業再也不能只單靠電子郵件原生的防護。一套多層式防護 (並且與更大的平台整合) 是您對付目標式威脅最佳的防禦。2021 年,趨勢科技總共偵測並攔截了3,300 多萬封原生防護漏掉的惡意電子郵件 。
一套典型的多層式防護能結合以下四大面向來遏止攻擊,降低資安風險:
1.電子郵件閘道
為了保護您的員工及您的資產免於上述潛在攻擊的威脅,同時超越原生防禦,您需要進階的過濾及防護能力。一套具備人工智慧 (AI)、機器學習 (ML) 以及行為分析技術的電子郵件閘道,並整合至單一儀表板,就能讓負擔沉重的資安團隊省掉許多手動作業。一些像作者分析之類的 AI 輔助功能,如 Writing Style DNA (寫作風格 DNA),會研究您企業經營團隊的寫作風格,並在疑似假冒經營團隊名義的電子郵件進入您員工的信箱之前預先加以標記。
2.雲端應用程式防護
在瞬息萬變的網路資安世界裡,沒有所謂 100% 的防護存在。萬一惡意郵件不幸越過了企業的防線,雲端應用程式安全代理 (CASB) 就能將已被標記的通訊從環境內的所有信箱中移除。此外,進階的 CASB 工具還能防止已遭駭客入侵的電子郵件帳號散播網路釣魚郵件給其他員工或同儕。
3.教育
一些網路釣魚模擬工具,如 Trend Micro™ Phish Insight 可提供您工具來教育您的員工,並測試您的使用者能否分辨一些最常見的網路釣魚攻擊所使用的最新手法。這類真實世界模擬測試使用的是從真實網路釣魚詐騙當中擷取出來的範本。
4.安全網站閘道 (SWG)
SWG 可檢查員工與網際網路之間的流量, 使用機器學習技術來偵測可能在您企業內散布勒索病毒的冒牌網站。此外,若再搭配一套合理使用政策 (AUP),企業就能防止員工存取一些未經核准的應用程式並在畫面上輸入自己的個人資訊,如此進一步降低風險。
下一步
採用一套整合在全方位網路資安平台底下的多層式防護,並搭配廣泛的第三方整合能力,以及延伸式偵測及回應 (XDR) 功能,您的團隊就能擁有精確完整的可視性與報表。如此將提升您整體受攻擊面的可視性,讓您更有效偵測及回應甚至最隱匿的網路釣魚攻擊。
原文出處:Phishing as a Service Stimulates Cybercrime 作者:Jon Clay