【網絡安全2023】網絡釣魚攻擊多年來都成為各網絡保安公司提醒要提防的安全問題。Check Point近日發現商業電郵攻擊變異,提醒要提防「網絡釣魚詐騙3.0」。單於2個月內便有逾3萬宗濫用企業和服務發動電郵攻擊!到底一眾用家們如何自保?機構薦4招防範措施。
網絡安全2023|2個月內33,817宗發動電郵攻擊
Check Point旗下Avanan指出不法分子能夠濫用常見服務電郵誘導用家登入惡意網站,故提醒提防「網絡釣魚詐騙3.0」。
調查所指,單計過去2個月內便已在全球發現33,817宗濫用正當、廣為人知的企業和服務發動電郵攻擊。
網絡安全2023|過往的商業電郵攻擊
機構解釋,濫用正當企業和服務的電郵攻擊是目前致損失最為嚴重的網路釣魚攻擊類型之一,而該攻擊手段是來自以往商業電郵攻擊。
過往的騙徒手法會透過偽裝高層電郵,提出正常的財務請求,例如:為服務或現金券付款。
網絡安全2023|「網絡釣魚詐騙3.0」攻擊方法
至於現時的「網絡釣魚詐騙3.0」則會濫用正當企業和服務的電郵攻擊。
當中的手法在於受害人會:
- 收到來自完全正當企業的電郵
- 內容會附上惡意網站連結
- 遭濫用的企業和服務網站既沒有惡意內容,亦沒有任何漏洞
- 駭客們便會利用這些常見服務的正當性,從而進入受害者的郵箱
網絡安全2023|PayPal為最常遭濫用品牌
Avanan亦指出最常遭到濫用的品牌為:
- PayPal - 68.3%
- Google - 27.9%
其餘的還有Sharepoint、Fedex、Intuit及iCloud。
網絡安全2023|4款簡單防範措施
要防範商業電郵攻擊,Avanan指有4款簡單防範措施:
1. 反制網路釣魚防護
利用機器學習分析電子郵件語言,從而捕捉網路攻擊的蛛絲馬跡等
2. 員工培訓
培訓員工識別及應對商業電郵攻擊,從而盡力降低網路釣魚威脅
3. 職責分離
機構指出,公司應該制定政策,要求高風險操作需要經另一名員工獨立驗證,有助減少獲成功攻擊機會
4. 標籤外部電子郵件
由於攻擊通常會以較類似的電郵地址從而作魚目混珠,Avanan建議:
- 企業可以更改電郵程式設定,把來自公司以外的電郵標籤為外部郵件,有助識破電郵攻擊伎倆。
網絡安全2023|香港釣魚網站去年第四學破萬
事實上,釣魚網站於香港亦是非常嚴重。香港電腦保安事故協調中心(HKCERT)曾於《香港保安觀察報告》季度報告表示,香港的釣魚網站事件去年(2022年)第四季首次錄得逾一萬宗,按季激升90%。
網絡安全2023|HKCERT保安建議
HKCERT形容技術的發展會促使攻擊手法更多元代,因此提出數項保安建議,當中包括:
- 檢查網址串法,小心核實網站真偽
- 小心考慮向任何人或機構提供個人資料
- 網上服務使用後均須關閉瀏覽器及登出帳戶等
另有其他5大保安建議,有興趣讀者可按以下連結了解更多:
相關內容:網絡安全2023|釣魚網站數量激升90%!假Facebook登入專頁偷資料:入侵受害者帳戶兼詐騙!8個用戶保安必知