雖然網路釣魚(Phishing)是一種相對單純的社交工程詐騙,但這並不表示網路犯罪集團不會持續加以改進並試驗各種新式手法。
最近,網路釣魚出現了兩種新的發展趨勢:
這兩項技巧確實提高了網路釣魚的成功機率,因為在缺乏全方位機器學習(Machine learning,ML)資安技術的幫助下,受害者有時真的很難辨別真假。
愈來愈多網路犯罪分子建立使用 HTTPS 的釣魚網站,讓網站在瀏覽器顯示起來是安全的….
不像其他許多網路攻擊都會隨著時間演變,網路釣魚(Phishing)攻擊很少偏離社交工程(social engineering )結合惡意檔案或連結的傳統公式。雖說如此,駭客仍舊很努力地讓攻擊更加有說服力,甚至會利用安全性工具。例子之一是用HTTPS協定建立釣魚網站。根據反網路釣魚工作小組(APWG)的2019年第一季報告,這是網路釣魚攻擊越來越常見的趨勢,目前高達58%。
HTTPS已經成為電腦網路進行安全通訊的標準協定,它會加密瀏覽器和網站間的網路流量來確保正在交換的資料內容不會被第三方得知。對要求使用者提供個人資料或帳密的網站(如登入頁面)來說,HTTPS的使用尤為重要。
因為 HTTPS 已經被廣泛地採用,現在瀏覽器都會在缺少使用此協定時通知使用者正在瀏覽“不安全”的網站。網址列出現鎖頭符號通常代表使用者正在進入安全的網域,而沒有鎖頭符號則代表不安全。狡猾的網路犯罪分子會建立使用 HTTPS 的釣魚網站來讓網站在瀏覽器顯示起來是安全的,儘管它是個惡意網站。
為了因應 Chrome 針對未加密的 HTTP 網站標記“不安全連線”,網路釣魚詐騙集團也隨之申請 SSL 憑證,用以掩人耳目。提醒大家有掛鎖圖示的網址列代表著這網頁傳輸的資料獲加密保護,但並非證明這網站安全無虞。道高一尺,魔高一丈,還是交由趨勢科技 PC-cillin 雲端版幫你把關,當你搜尋時 PC-cillin 會以紅色標示危險網址,綠色標示安全網址; 如下圖顯示, 如果你因一時不察點入詐騙購物網站時, PC-cillin會封鎖該網站,不會讓你荷包失血。
[延伸閱讀:「你肉腳」這個詐騙購物網站 , 台語發音令受害人好崩潰! 「https 」開頭的一頁式詐騙廣告夾帶在 Yahoo 首頁熱門新聞中! ]
使用HTTPS協定需要啟用TLS或SSL憑證。這些憑證一般來說需要購買,所以之前網路犯罪份子在釣魚網站使用HTTPS是種昂貴的做法。但現在有許多服務都可以免費提供TLS和SSL憑證,這代表現在任何人(甚至是網路犯罪分子)都能更加輕易在網站使用HTTPS。網路犯罪分子甚至可以入侵合法網站當作釣魚網站,讓潛在受害者更難區分哪些網站是安全的。
繼續閱讀根據一份調查了全球82,938起詐騙事件的報告,網路犯罪分子在2019年第一季持續地大量使用網路釣魚(Phishing)及流氓行動應用程式來詐騙使用者和企業。
根據報告對詐騙攻擊的剖析,網路釣魚攻擊佔了29%,而流氓行動應用程式佔了50%。而RSA關於詐騙者持續利用網路釣魚及流氓行動應用程式的調查結果跟趨勢科技Smart Protection Network的反饋資料相一致,SPN利用了機器學習(Machine learning,ML)等先進資料科學技術,在2019年第一季偵測並封鎖了440萬起的網路釣魚攻擊(基於連到釣魚網址的不重複客戶端IP地址)以及1,250萬次的惡意行動應用程式攻擊。
[延伸閱讀:趨勢科技Cloud App Security 2018年報告:針對進階郵件威脅的先進防禦]
RSA觀察到網路釣魚攻擊會透過社交工程郵件、電話或簡訊釣魚等形式進行,跟2018年第四季相比起來成長不到1%。但與此同時,詐騙者部署了更多的流氓行動應用程式。跟2018年第四季的10,390個流氓行動應用程式比較起來,2019年第一季的攻擊總數達到了41,313個 – 成長了300%。
其他類型的詐騙攻擊包括了使用假藉口、品牌盜用(郵件及網頁)來誘騙使用者安裝木馬程式或隱形惡意軟體。分別佔總數的12%和9%。
繼續閱讀
ScarCruft 網路犯罪集團最近開發出一種可掃瞄藍牙裝置的惡意程式,蒐集包括裝置名稱、位址、類型以及連線和認證等資訊。此惡意程式利用了 Windows Bluetooth API 來蒐集這些裝置資訊。
這起多重階段攻擊行動專門鎖定俄羅斯、越南和香港的投資與貿易公司。ScarCruft 會運用魚叉式釣魚(spear phishing)技巧或水坑式攻擊試圖滲透目標企業機構。
[延伸閱讀:Anatomy of a spear phishing attack]
該惡意程式 (趨勢科技命名為 Trojan.Win32.SCARCRUFT.AA) 在滲透系統之後,會下載一個惡意程式來躲避 Windows 的使用者帳戶控制 (UAC) 機制,此機制是 Microsoft 整體安全願景的一環。
惡意程式一旦成功避開 UAC 的管制,就能以更高的權限執行,並在受害企業機構內執行一些合法的滲透測試工具。為了進一步躲避偵測,還會利用圖像隱碼術(Steganography)來隱藏自己的程式碼。
繼續閱讀
一封看似正常的回覆郵件卻夾帶含有銀行木馬和間諜軟體! 現在網路釣魚變得越來越進化且具有針對性,對受害者的社交工程攻擊手法也同時升級。 一封信丟了工作,還被雇主索賠 400 多萬台幣 是個慘痛的真實案件 。
隨著網路安全解決方案使用機器學習(Machine learning,ML)及其他先進工具來加強對郵件型態威脅的偵測,網路犯罪分子也在持續地調整自已的武器,升級原有的社交工程攻擊手法(如網路釣魚(Phishing))來讓使用者更容易落入詐欺、身份竊盜及偽造身份的陷阱,使得企業損失了大量的金錢。美國聯邦調查局報告指出,美國境內外的企業在2013年10月到2018年5月期間因變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise簡稱 BEC)損失超過了125億美元。
[延伸閱讀:HTML附件和網路釣魚如何被用在BEC詐騙攻擊]
趨勢科技年度 Cloud App Security報告顯示光是在2018年,趨勢科技的Smart Protection Network安全基礎架構就封鎖超過 410億筆的電子郵件威脅。隨著人們越來越了解到讓網路釣魚成功一次就可能讓企業蒙受巨大的經濟損失,企業也學會了採用更好的電子郵件安全解決方案和最佳實作。因此,網路犯罪分子也對應地改變工具及改進網路釣魚策略。
繼續閱讀