随著网络世界的日渐发达,网络犯罪也频频发生,许多人因此被盗取个人资料或是被盗用身份,其中最常见的是网络钓鱼。
当你收到一大堆熟悉商家或品牌寄来的优惠促销邮件时,先别太开心,因为你可能就正面临著攻击!
3大类型
云端联系安全和储存解决方案提供商——梭子鱼网络(BARRACUDA Networks)亚太区销售副总裁詹姆斯福布斯‧梅(James Forbes-May)指出,网络钓鱼越来越受犯罪者欢迎,他们会在锁定目标后进行资料收集,再通过冒充对方值得信赖的同事、网站或公司来设计适合的信息等对方上钩。
知名品牌 商业邮件入侵
勒索敲诈邮件
梭子鱼网络的“网络钓鱼:主要威胁与趋势”报告中,以过去3个月对超过36万封网络钓鱼电子邮件进行分析,发现网络钓鱼类型主要分成3大类:知名品牌、商业邮件入侵和勒索敲诈邮件。
当中83%的攻击都是冒充了知名品牌,6%是商业邮件入侵类型,剩余为勒索敲诈邮件。
被假冒品牌苹果微软占53%他指出,被假冒值了的品牌中,苹果和微软占了53%。
他解释,诈欺者最常用采用的手法是名称欺骗技术,更改电子邮件帐户的显示名称或邮址。
“像是把苹果里的“L”改成“I”或“1”,若你点开查看完整邮址就发现不同,但大家每天接收的邮件太多,要做到很难。”
而这技术更是容易欺骗到使用平板电脑或手机阅读邮件的人!因为它们的屏幕较小,标题或邮址太长的话,后面部份就会自动变成省略号。
最爱冒充金融机构
此外,若你在某公司金融或财务部门的员工就要更加留意了。
詹姆斯福布斯梅指出,每5个网络钓鱼攻击就有一个是冒充金融机构。
而金融机构是它们最爱冒充的对象之一,主要是用来攻击各公司或机构的金融或财务部门员工。
这主要原因可能是部份财务部员工向来是最常接触到银行和金融机构,并经常进行数百万的大数目交易。
商业邮件入侵仅6% 损失却达514亿
报告显示,尽管商业邮件入侵类型仅占6%,但根据美国联邦调查局数据显示,自2013年以来,该类型网络钓鱼已造成逾125亿美元(约514亿令吉)的损失。
他指出,商业邮件入侵通常会锁定一家的公司作为目标后,就会在攻击前耐心的收集公司和员工资料,并且等待适合的时机和机会。
他举例,有些犯罪者会在攻击前关注公司高层的脸书等社交网络,观察他最近的活动,是否有出国公干之类。
据了解,犯罪者通常冒充高层/其他员工/金融机构发送邮件,要求财务部门员工和其他接触到该信息的高层电汇或提供可识别个人身份的信息。
一旦员工进行电汇,钱将被转移到一个欺诈性的账户上,通常就不可能取回了。
他表示,商业邮件入侵类型中,超过70%的会使用标题来尝试建立联系或是给予紧迫感。
因此,若收到的商业邮件内容,是与之前讨论的课题相似或给予暗示时就需要留意了。
攻击方式千变万化
虽然,如今电脑和电子邮件系统都会给予基本的防御。
但詹姆斯福布斯表示,网络防御是一层层,无法使用一个防御产品来概括所有。
他也指出,网络钓鱼的设计就是为了避开传统的电子邮件安全方案,而且随著犯罪者不断寻找新的方法避开防护和吸引用户下,攻击也持续产生变化。
打个比方,以前提起网络钓鱼,主要是包含恶意链接或附件让用户点击,但现在为了避开传统的电子邮件安全防护,犯罪者会采用有更高的个性化邮件,像是说明用户的简单资料后要求你更新私人信息之类。
为了更有效地针对不同行业的用户,犯罪者将适时调整他们的电子邮件技术。
报告显示,主要用于发起攻击的顶级域名中,gmail.com占了30%。
而通过网络钓鱼邮件盗取隐秘的资料如登入信息或个人财务资料,主要都是想用作诈欺、身份盗用或其他犯罪。
勿只靠软件 提升员工意识
根据近期发布的数据泄密报告显示,当网络钓鱼进攻时,有4%公司员工人会遭受攻击,而公司只有16分钟阻止员工点击进去,而一旦员工受到攻击之后,要近12分钟才有人报告给资讯科技部门。
“更可怕的是,有些公司或员工被入侵后仍没意识到。”
于是,防护不能在仅仅依靠著软件或资讯科技部门,也需要提高员工对网络钓鱼的防范意识。
有鉴于此,梭子鱼网络亚太区Phishline销售主管林浩雄指出,他们其中一个产品PhishLine,就是通过培训和测试提高员工对网络钓鱼攻击的识别能力。
“这样在最初阶段,员工发现了有问题的电子邮件,就可立刻交给IT安全部门处理。”
此外,他补充,该培训也会训练员工如何应付办公信息,预防员工无意中透露重要信息。
时刻提高警惕
林浩雄表示,除了电子邮件,用户对其他社交媒体或平台也需要时刻提高警觉。
“因为所使用的所有平台最终也是连接至单一设备,这无疑增高了风险。”
林浩雄指出,公司至少还有一套完整的防御系统,但用户自身却不太可能有类似防护。
他举例,较常见的,是一些冒充用户朋友,以名称欺骗在别的平台开设帐号,降低你的警觉后,再用参与抽奖活动之类的借口讨要电话号码或信用卡号码。
结语
虽然市面上的防御产品或方案琳琅满目,但网络钓鱼就如病菌一样不断地进化和衍生,所以目前仍无法100%防御,用户需时刻提高警觉,所有涉及金钱的活动都要仔细确认,避免被人当成“肥鱼”宰杀。
https://www.sinchew.com.my/content/content_2087868.html