標籤: 網路釣魚 Phishing

從近期重大攻擊事件,看網路釣魚手法

儘管網路釣魚（Phishing）相對於今日媒體上經常看到的精密攻擊似乎已經過時，但它仍是一項持續不斷的威脅。歹徒依然能夠透過一些新的手法來竊取企業的重要資料、珍貴資產，甚至破壞營運基礎架構。

7月初全球第四大數位貨幣交易所 Bithumb 的一位員工 遭駭，歹徒偷走了一批聯絡人電話、電子郵件地址等等，接著，歹徒利用偷來的資訊發動一波網路釣魚攻擊，但卻使用以往罕見的手法。同樣地，數位貨幣 Ethereum (乙太幣) 的用戶也在同月遭到攻擊。根據報導，駭客藉由網路釣魚手法在短短 6天之內海撈了 70 萬美元。

除了數位貨幣之外，美國能源機構與關鍵基礎架構也遭到持續性網路釣魚攻擊。其嚴重程度甚至引起美國聯邦調查局 (FBI) 和國土安全部 (Homeland Security) 的關注，並發出警告通知各機關嚴加防範。根據 媒體報導，這些網路釣魚電子郵件使用了一項罕見的技巧來蒐集受害者資訊。

趨勢科技為了協助使用者了解並防範這些新的威脅，以下將詳細介紹最近幾次攻擊所用的手法和技巧：

陳年伎倆:語音釣魚,導致南韓數位貨幣交易所損失超過數十億韓元

傳統的網路釣魚詐騙都是假冒知名機構的名義發出電子郵寄，接著，不是誘騙受害者輸入帳號密碼，就是將受害者重導至惡意網站。但前面提到的 Bithumb 攻擊案例卻用了一個陳年的老技巧：語音釣魚 (vishing)。歹徒利用從 Bithumb 員工偷來的資料， 假冒成 Bithumb 高階主管打電話給受害者，謊稱受害者的帳戶遭駭客入侵，要求受害者提供密碼和其他重要的帳戶安全資訊。根據媒體報導，受害者損失超過數十億韓元  (該交易所位於南韓)。

語音釣魚不像網路釣魚那樣大家耳熟能詳，而且它比其他詐騙手法更加仰賴社交工程技巧，因此，歹徒能否得逞全看他是否露出破綻，是否能完全掌控受害者的心理。在該案例中，歹徒從 Bithumb 偷到的資訊或許是他們的成功關鍵，因為歹徒在撥打電話時，已明確掌握受害者帳戶的詳細資訊，因此會讓人覺得相當可信，且不易露出破綻。

小眾網路論壇釣大魚: 假冒論壇管理員名義，通知論壇成員檢查自己的帳戶,騙帳號密碼 繼續閱讀

伺機而動：駭客如何反制防護策略並用於攻擊

在運動電影、戰爭故事和犯罪情節當中，總會出現下列主軸：知己知彼，百戰百勝。

人們在層層設定 (包括網路安全領域) 中，採用了這種戰術，且通常成功率很高。安全研究人員不斷努力徹查並瞭解駭客使用的技術，以便打造可防禦特定威脅的目標式防護。不過，大多數人都沒有發現到，在防護端另一側的敵人，也正發展出相同的策略趨勢。

惡意的駭客與白帽駭客一樣，都持續精進自己的技術。再者，現在有些攻擊者並不會採用已知的系統漏洞，反而想利用組織部署的惡意行動封鎖防護措施，來反將組織一軍。

這些安全措施本應讓消費者與企業用來保護最重要的資料與內容，為何反被網路罪犯作為攻擊武器？接下來，讓我們來看看目前駭客會使用的幾個狡猾技術。

員工平日訓練有素? 駭客總有辦法突破心防

許多企業的安全防禦基礎之一，是對員工進行專業的特殊培訓。這有助員工瞭解如何找出具有攻擊徵兆的惡意活動，並掌握自己在公司整體資料防護中所扮演的個別角色。許多的培訓課程都教導員工，除非獲得授權人或團體的許可，否則都不要提供個人或公司的敏感詳細資料。

對此，駭客可偽造冒牌電子郵件，引誘受害者點選會干擾內部系統的惡意連結。

擬定這個策略後，駭客即開始利用網路釣魚（Phishing），該技術會依靠仿真的訊息，說服受害者提供敏感資訊。在這類攻擊當中，攻擊者可能會偽造來自權威機構 (例如銀行或執法部門) 且看似合法的訊息。

在某些案例中，當攻擊者鎖定特定企業的成員時，駭客會竭盡所能地瞭解這些對象，並偽造出一封與他們高度相關的訊息。其中可能包括該對象的姓名、公司職稱和其他詳細資料，以吸引閱信者的目光，並誘使他們點選惡意連結或足以干擾系統的附件。 繼續閱讀