什麼是網路捕鯨,我們又該如何預防它?

影響網路安全防禦的威脅不斷增長,經常衍生出不同形式的變體。進階持續性威脅 (APT) 和組合型威脅本來就很難偵測,AI 的出現,更是增強了像捕鯨攻擊這類的現代威脅,讓它變得更加高效和易於擴展。在這篇網誌中,我們將深入探討:

  • 什麼是網路捕鯨?
  • 網路捕鯨如何影響網路安全?
  • 分享真實攻擊案例
  • 網路捕鯨分析
  • 探討預防這類攻擊的不同方法

October 18 2023 作者

Giant whale leaping out of then water, causing a splash

認識網路捕鯨

什麼是網路捕鯨?

在某些圈子裡也被稱為「CEO 詐欺」,網路捕鯨是魚叉式釣魚攻擊的一種變體,通常用於針對在公司工作的一類個人。除網路捕鯨外,目標個人類別完全是組織內的高級成員,例如最高管理層和董事會成員。

網路捕鯨和社交工程類似嗎?

簡單來說,是。它屬於網路釣魚保護傘,是社會工程威脅的一個子集,旨在通過欺騙從毫無戒心的用戶那裡收集特權資訊和數據,如密碼或訪問令牌。

網路捕鯨會影響網路安全嗎?

由於網路捕鯨攻擊被歸類為社會工程威脅,它肯定會而且確實會影響組織的安全態勢。網路捕鯨攻擊造成的威脅各不相同,就像社會工程攻擊等一樣,這取決於不良行為者的目標和受保護的資源 (或在這種情況下,不受保護的資源)。請參閱以下示例,深入了解網路捕鯨攻擊可能影響你的防禦的一些方式。

網路捕鯨攻擊示例

雖然遠非詳盡無遺,但以下是網路捕鯨攻擊的三個真實示例,以及它們如何危及組織網路安全:

  1. 2016年:歐盟 Crelan 銀行的員工在收到似乎來自該銀行的執行長 (CEO) 的電子郵件請求後,將 7500 萬美元的資金匯入威脅行為者擁有的銀行帳戶。
  2. 2019年:一家總部位於英國的能源公司的首席執行官被其母公司的首席執行官要求通過電話向其匈牙利供應商電匯 24 萬 3000 美元。只有這個電話是由攻擊者使用人工智慧軟體模仿 CEO 的聲音欺詐性地創建的。
  3. 2020 年:澳大利亞對沖基金公司 Levitas Capital 在損失 800 萬澳元後關門大吉,同時在客戶中享有商業聲譽。罪魁禍首是一個虛假的 Zoom 邀請,它允許攻擊者安裝生成虛假發票的惡意程式碼

網路捕鯨攻擊分析

拆解分析網路捕鯨攻擊

  • 偵察:威脅行為者對其執行或高級管理目標進行廣泛研究,以蒐集用於建立令人信服的冒充他們的詳細資訊。
  • 武器化:掌握必要的資訊後,威脅行為者會創建用於進行攻擊的實際內容。雖然這通常通過電子郵件進行溝通,但作為更大的商業電子郵件洩露 (BEC) 的一部分,捕鯨也可以通過以下方式進行:
    • 簡訊
    • 消息傳遞和社交媒體平臺
    • 詐騙電話
  • 傳遞:消息類型被傳遞給預期的受害者,通常有一個緊急場景,敦促受害者通過執行看似最高管理層或高階管理層請求的行動來做出反應。
  • 利用:根據攻擊者要求的行動,受害者可能會交出機密資料、用於存取敏感資源的憑證、在更大規模的資料洩露中進一步破壞系統或執行操作,例如轉移或電匯資金,或支付“未結”發票。
  • 後果:成為捕鯨襲擊受害者的後果同樣多種多樣,很大程度上取決於組織、犯罪程度和對組織的法律影響 (我們稍後會更詳細討論這一點)。

網路捕鯨的目標

如前所述,捕鯨攻擊僅針對一個特定群體。他們可能是:

  • 最高管理層成員:
    • 執行長 (CEO)
    • 財務長 (CFO)
    • 營運長 (COO)
    • 策略長 (CSO)
    • 資安長 (CISO)
  • 董事會成員
  • 資深管理階層
    • 主管
    • 總監

網路捕鯨攻擊的影響

網路捕鯨的潛藏後果

捕鯨攻擊的反應可能因組織而異,並且在很大程度上取決於許多因素。捕鯨網路釣魚攻擊的一些常見現實後果是:

  • 強制要求員工進行安全培訓,以應對未來的攻擊
  • 終止任何責任方的雇傭關係
  • 失去業務競爭優勢或運營能力
  • 對公眾聲譽和/或行業地位的負面影響
  • 廣泛的經濟損失,往往無法彌補
  • 因違反監管而產生的民事和/或刑事責任
  • 部分或全部停止業務運營

防堵捕鯨攻擊

如何識別潛在網路捕鯨攻擊

網路捕鯨和更大程度上的網路釣魚攻擊在歷史上都有某些標準的明顯跡象,這些標準強烈表明通信可能試圖對其目標進行網路釣魚 (或執行鯨魚網路釣魚) 。

雖然情況並非總是如此,但以下是當你收到管理階層的下一個「緊急請求」時需要注意的一些事項的準則——它可能會說明你確定這是合法請求還是等待發生的騙局:

  • 外部電子郵件:許多電子郵件服務允許IT部門標記從外部來源接收的電子郵件。啟用此設置後,你是否收到一封聲稱來自 CEO 或資深管理層的電子郵件。管理層,儘管存在通知,說明電子郵件是從外部收到的?如果是這樣,你可能希望報告該電子郵件以防萬一,因為組織員工內部發送/接收的大多數電子郵件都發生在內部,而不是外部。
  • 急迫性:大多數社會工程攻擊都將緊迫性置於活動的中心。這意味著,通過建立一種需要立即執行反應性任務的敘述 (沒有時間提出問題或驗證所要求的內容) ,這些活動的成功通常歸因於受害者所需的快速回應時間與後果的嚴重性有關。
  • 後果:硬幣的另一面是緊迫性,是後果。例如,「如果你不立即執行請求的操作,那麼這將發生在你身上。可怕的後果、威脅、最後通牒和法律行動是威脅行為者用來恐嚇目標成為受害者的一些策略。
  • 保密性:通訊方法雖然看似安全,甚至可能是加密的,但通常被認為不夠“安全”,無法討論或交換機密數據。例如,對於社交媒體等公共平台來說,這更是如此。收到一封電子郵件,明確告訴你出於安全考慮而將請求留給自己,同時要求你提供私人資訊或憑證,充其量是可疑的,最壞的情況可能是社會工程攻擊。
  • 連結和分隊:這是一個很難發現的問題,因為通信渠道的設計能夠快速有效地與同事共用連結和附件。然而,這種易用性正是威脅行為者在製作消息時所依賴的。既然是「功能」,那會有多糟糕,對吧?錯了,它可能很糟糕。簡而言之:不要點按連結或下載/打開附件才是上策。
  • 驗證:任何類型的請求,尤其是與財務事項有關的請求,或任何帶外提出的請求,都應親自進行驗證。至少,在採取任何行動之前,必須通過與請求者交談來驗證以確保它是合法的請求。當對帳號或付款程序進行任何更改時,應執行嚴格的協定,以盡量減少成為欺詐受害者的風險。

意識和教育的重要性

有許多可用的產品和解決方案被標榜為解決此安全問題或緩解該安全問題。雖然其中許多甚至可能效果很好,但事實仍然是,當涉及到網路捕鯨時,班傑明・富蘭克林 (Benjamin Franklin) 曾說:「一盎司的預防勝過一磅的治療。」,在1736年,早在網路釣魚出現之前,互聯網甚至我們今天所知道的計算機就已經存在了。

但核心資訊在今天和幾個世紀前一樣適用。在網路安全方面,預防是>補救。

當與分層策略或縱深防禦安全計劃相結合時,有一些關鍵解決方案在對抗社會工程方面特別有效。也就是以下這些功能:

  • 威脅意識:當你甚至不確定哪些威脅會影響你或它們以何種方式影響你時,你如何期望保護自己免受威脅?瞭解威脅、威脅的演變、工作原理、目標、對資源的影響以及如何將其應用於你的獨特需求,是通過資訊交流、公開對話和IT和安全團隊的專業發展會議來熟悉威脅參與者的策略,從而朝著保護自己邁出的良好第一步。
  • 持續培訓:後續問題:當員工不知道他們面臨的最新威脅是什麼時,你希望他們如何説明保護業務資源?畢竟,它們不僅是你的第一道防線,也是解決方案的一部分。定期安排的培訓課程與其他組織政策保持一致,確保員工安全培訓隨著威脅的發展而發展,讓員工了解情況。畢竟,安全是每個人的責任,而不僅僅是 IT 人員。
  • 制定安全協議:雖然這個技巧可以作為一般的、全公司範圍的政策應用,但本博客的重點是捕鯨,因此我們將更具體地向高階管理層的成員推薦它,因為他們是捕鯨攻擊的目標群體。最高管理層需要更加謹慎地對待他們的隱私數據,包括共用的內容、地點和誰可以看到這些數據。例如,在面向公眾的網站 (如社交媒體資料) 上啟用隱私限制會限制更廣泛的受眾可用的個人和業務詳細信息的數量。共用的資訊越少,意味著威脅人士在冒充受害者時可以利用的資料池就越少。
  • 改進你的資安方案:資安解決方案很棒,但是當自稱是 COO 的人請求遠端訪問有權訪問包含所有員工記錄的 HR 資料庫的計算設備時,強制執行強唯一密碼的策略不會阻止對機密業務資源的訪問,並且毫無疑問地授予訪問許可權。但是,實施額外的端點安全保護層來偵測和響應進階持續性威脅 (APT) 可能會在快速識別威脅和修復威脅或允許其持續存在之間產生重大影響,從而為不良行為者提供充足的時間來完全破壞你的資料。

總結

網路捕鯨的未來?

短期內網路捕鯨攻擊預計將持續發生。當像聯邦調查局這樣的機構以「已確定的暴露損失增加 1,300%」為由,已經並將繼續權衡保護措施和指導,以更好地保護自己免受這一不斷增長的網路釣魚威脅時,這並不是猜測。

作為 GreatHorn 關於捕鯨和高階主管冒充攻擊有多突出的報告的一部分,《安全雜誌》指出:「59% 的組織表示高階主管一直是捕鯨攻擊的目標。」還有什麼比這更糟糕的呢?「46% 的受訪者表示,高階主管已經淪為受害者。」

網路捕鯨 + 人工智慧

彌合網路釣魚的可擴充性與網路捕鯨所感受到的每條消息影響之間的差距並不是《機器人先生》一集中展示的攻擊媒介。這是人工智慧驅動的網路捕鯨攻擊未來。

被稱為魚叉式捕鯨,趨勢科技解釋說,「魚叉式捕鯨可以高度自動化,並且可以受益於使用生成式預訓練 (GPT) AI 語言模型,該模型可以允許在精選的分發清單中同時進行極其成功的有針對性的攻擊。這些名單由許多高階管理層或資深官員組成,例如所有銀行高級主管、所有高級警官或甲國的所有政治家。

鼓勵提高警惕和教育

「不要僅僅依賴電子郵件。」——聯邦調查局

上一節中提到的各個解決方案確實提供了一定程度的保護,但多級保護在於安全協定和提供高級威脅檢測和緩解的解決方案的配對,以及在正在進行的員工培訓課程未發現某些內容時進行補救。

重點摘要

  • 捕鯨是一種社會工程攻擊,專門針對高級成員,例如高管和董事會成員。
  • 聯邦調查局已將捕鯨確定為組織面臨的最大網路釣魚威脅之一,造成 120 億美元的損失。
  • 世界各地的真實捕鯨攻擊直接導致了機密信息的數據洩露、資金損失和企業倒閉。
  • 捕鯨攻擊涉及威脅行為者在收集公司高管資訊以提高冒充攻擊的成功率時進行廣泛的開源偵察。
  • 攻擊不僅通過電子郵件進行,還通過簡訊、消息和社交媒體平臺以及電話進行。
  • 與其他形式的網路釣魚一樣,緊迫性和可怕的後果是攻擊者用來說服受害者在未經驗證的情況下採取行動的兩種強大策略。
  • 員工培訓不僅在教育使用者抵 禦威脅類型方面發揮著重要作用,而且還可以讓他們對不斷變化的攻擊類型保持警惕。
  • 59% 的組織表示,管理階層一直是捕鯨攻擊的目標,46% 的組織表示高管已成為受害者。
  • 利用人工智慧來自動化捕鯨的功效和網路釣魚的可擴展性的攻擊是未來的趨勢。進入魚叉式捕鯨。
  • 「一刀切」可能會阻止一個威脅層,但全面的解決方案將端點安全軟體與最終使用者培訓和改進的安全協議相結合,以實現深度防禦。

需要識別、緩解和補救進階型威脅?

立即加入 Jamf Executive Threat Protection,再三檢查。

訂閱 Jamf 部落格

將市場走向資訊、Apple 最新消息、Jamf 新聞等,直接發送到你的收件匣。

若要進一步了解我們如何蒐集、使用、揭露、傳輸及儲存您的資訊,請前往我們的隱私權政策頁面。