從資安最基礎的開始說起:網路釣魚

網路釣魚是大多數網路攻擊的罪魁禍首,不管是在金錢或生活上都危害著企業組織與個人。在這篇文章中,我們將探討什麼是網路釣魚、怎麼判斷網路釣魚,以及可以採取哪些措施來防止成為網路攻擊的受害者。

October 13 2023 作者

Liarna La Porta

Threat actor using a rod to phish macOS and iOS/iPadOS users.

在大多數的情況下,您的行動裝置並沒有像工作電腦上一樣的資安防禦措施。因此,作為終端使用者,您必須盡力保護自己免受網路威脅。本文將重點介紹網路釣魚 - 如何辨識您是否已經落入網路釣魚陷阱,它是如何發生的、以及如何處理。

網路釣魚是如何運作的?

網路釣魚是駭客用來竊取使用者資料(包括登入憑證和信用卡號)的一種社會工程攻擊。攻擊者會偽裝成受害者信任的人或組織,引誘受害者打開郵件並點擊連結。一旦該連結將受害者導向詐騙網站,受害者就會被誘使輸入他們的登入憑據或財務資訊,這些資訊就到了駭客手中。

網路釣魚是一種簡單又有效的攻擊方式,為犯罪者提供各種個人、財務和業務資訊。攻擊的目的和實際運作方式可能會有所不同,但它們通常以向受害者騙取個人資料,或讓他們安裝對裝置造成損害的惡意軟體為主。

網路釣魚不僅非常普遍,而且也是當今企業面臨的最具破壞性網路資安威脅之一。根據 IBM 2023年數據指出 成本報告,網路釣魚在所有資料外洩事件中佔15%,位居榜首,平均對企業組織造成476萬美元的損失。

網路釣魚通常始於與毫無戒心的受害者進行某種形式的溝通:簡訊、電子郵件、應用程式內的通訊等。該訊息通常會以一些獎品或好處來誘騙受害者。也許是有機會贏得一部新iPhone,一張免費的休閒票卷或禮卷,也可能是更簡單的方式:要您登入社群網路、銀行帳戶或工作電子郵件等。

為了向受害者索取個人資訊,攻擊者通常會將他們導向到一個看似沒問題的網頁並要他們填寫詳細個人資訊。攻擊者可以利用這些資訊到真正的官方網站登入您的帳戶,也可以把您的資料販售給其他人。

網路釣魚攻擊的類型

如果您遭到網路釣魚,很可能是通過以下的方式進行的:

  • 簡訊:也稱為「網路釣魚簡訊」,有心人士向使用者發送含有網路釣魚網站連結的簡訊,目的通常是竊取使用者憑證。
  • Whatsapp:也稱為「whishing」,類似於簡訊釣魚,有心人士在 Whatsapp 中發送惡意訊息。
  • 電子郵件:電子郵件網路釣魚可以針對個人或公司電子郵件,也可能針對使用者熟悉的組織或網站。這些電子郵件可能會要求使用者登入他們使用的軟體,最終將使用者發送到看似沒問題的惡意網站。
  • 語音網路釣魚(Voice phishing):語音網路釣魚或「vishing」可能涉及偽造的號碼,看起來像是合法機構的號碼。這些攻擊可能會使用文字轉語音軟體或真人聲音,試著從受害者那裡獲取財務資訊。
  • 魚叉式網路釣魚(Spear phishing):這些攻擊可能通過電子郵件、簡訊或其他方式發送到特定目標。有心人士可能會冒充為使用者認識的人,要求使用者提供協助或個人資訊。
  • 捕鯨(Whaling):捕鯨式攻擊以執行長或其他高階主管等高知名度目標為攻擊對象。有心人士可能會假冒其他高階主管以得到信任,最終將受害者發送到詐騙網站以獲取憑證。
  • 社群媒體貼文和私訊: 有心人士可能會利用社群媒體聯繫受害者。與其他方法一樣,通常涉及將使用者送到詐騙網站以獲取他們的資訊。

如何辨識網路釣魚攻擊

希望您可以在交出寶貴資訊之前,事先發現一些網路釣魚的跡象。注意:

  • 包含縮短網址的可疑訊息、電子郵件和社群貼文
  • 要求提供登入憑證或其他敏感資訊的網頁
  • 帶有不尋常語言的可疑電子郵件
  • 包含可疑或假冒網址的網頁
  • 拼字錯誤、特殊字元或語法錯誤(但請注意, 有心人士會使用 AI 改進這方面的問題 ,有些網站和資訊可能看起來完全沒問題)

在下面的網路釣魚範例中,該訊息包含了縮短網址和操作要求((因為使用者可能會想對他們沒有購買的商品提出異議)。縮短的網址讓人很難判斷其正當性,而缺乏明顯的錯誤使攻擊變得不那麼顯而易見。最好的辦法是忽略連結,手動登入任何銀行或信用卡帳戶,檢查是否確實有購買商品的支出。

Smishing attempt on iPhone

如果您被網路釣魚,並且已經交出了個人資訊,有一些蛛絲馬跡可以幫助您弄清楚自己是否真的上鉤了。網路釣魚的攻擊方式各不相同,而且它們通常會與其他威脅參雜在一起同時發生,例如作為發送惡意軟體的一種方式,因此徵兆可能非常廣泛。以下是一些基本的網路釣魚攻擊已得逞的跡象:

  • 身份盜竊
  • 不熟悉的交易
  • 被鎖定的帳戶
  • 非主動提出的密碼重置請求
  • 來自您帳戶的垃圾郵件

如果您認為自己落入網路釣魚的陷阱,該怎麼辦呢?

您落入網路釣魚的陷阱,現在該怎麼辦呢?

  1. 更改所有被盜帳戶的密碼,包括與駭客竊取的密碼相同或類似的帳戶密碼。
  2. 如果您在釣魚網頁上輸入了信用卡資訊,請註銷該信用卡。
  3. 將電腦離線或刪除您的電子郵件帳戶,以避免將網路釣魚連結散播到您的聯絡人清單中。
  4. 聯絡網路釣魚攻擊所冒充的公司或個人(如果有的話)--可能是您的CEO、您的朋友,也可能是知名的大型公司或銀行。
  5. 掃描您的裝置,尋找病毒;點擊惡意連結會導致惡意軟體自動安裝(無需使用者干預,直接按默認設置安裝),在您不知情的情況下損壞裝置。
  6. 留意身分盜竊警告,並在您的信用帳戶上設定詐騙警報。

積極主動的自我保護措施

行動裝置特別容易受到網路釣魚攻擊。它們的螢幕較小,因此更難仔細檢查連結的正當性,而且使用者往往過於匆忙,無法做到這一點。此外,雖然許多使用者會在電腦上下載威脅防護軟體,,但在手機上這樣做的使用者卻很少。這就是需要仔細檢查的原因。

最好的補救措施就是預防。請遵循以下指導,遠離網路釣魚:

  • 不要點擊可疑的連結
  • 不要在未知或不可信的網站上輸入信用卡資訊
  • 如果連結將您導向您的銀行網站,請手動輸入名稱,在單獨的視窗中打開您的銀行網站
  • 有些詐騙會聲稱您已中獎,請不要落入這樣明顯的騙局
  • 檢查網址列中是否有可疑或假冒網址,如 my.apple.pay.com

企業可以採取以下措施防止公司或 BYOD 裝置受到網路釣魚的攻擊,包括:

  • 向員工介紹網路釣魚攻擊,提供如何避免此類攻擊的訓練
  • 使用垃圾郵件篩選器,防止攻擊波及到員工收件匣
  • 使用 MFA 防止竊取的憑證被使用
  • 部署威脅防禦軟體,即使點擊了釣魚網站也能阻止其存取
  • 使用密碼管理員自動填入其所屬網站上的密碼(因此對非法網站不起作用)
  • 裝置和軟體保持在最新狀態

訂閱 Jamf 部落格

將市場走向資訊、Apple 最新消息、Jamf 新聞等,直接發送到你的收件匣。

若要進一步了解我們如何蒐集、使用、揭露、傳輸及儲存您的資訊,請前往我們的隱私權政策頁面。

標籤: