Check Point® : 網 絡 釣 魚 詐 騙 3.0 猖 獗
< 香 港 > – 全球網絡安全解決方案供應商 Check Point® 軟件技術有限公司(納斯達克股票代碼:CHKP)旗下企業Avanan指出近日商業電郵攻擊出現變種,能濫用常見的服務電郵(如 PayPal、Google Docs)誘導公眾進入惡意網站,提醒企業提防「網絡釣魚詐騙3.0」的趨勢。過去兩個月內,Avanan在全球發現33,817宗濫用正當、廣為人知的企業和服務發動電郵攻擊。
新型網絡釣魚攻擊濫用常見服務電郵 過去兩月出現超過三萬宗
濫用正當企業和服務的電郵攻擊源自以往的商業電郵攻擊,是目前最具破壞性、引致損失最為嚴重的網路釣魚攻擊類型之一。騙徒過往的手法是透過偽裝公司高層的電郵,提出正常的財務請求,例如為服務或現金券付款。這種手法依賴看似來自位高權重人士的真實郵件,而最常見的動機是誘導目標向騙徒轉帳,並相信這是獲授權的商業交易。
濫用正當企業和服務的電郵攻擊被稱為「網絡釣魚詐騙3.0」,駭客使用真實、正當的企業服務執行攻擊行動。受害人會收到來自完全正當企業的電郵,內容隨附惡意網站連結。遭濫用的企業和服務網站既沒有惡意內容,也沒有任何漏洞,而駭客們正利用這些常見服務的正當性,進入受害者的郵箱。
網絡犯罪份子經常濫用的品牌包括Paypal、Google Docs、Sharepoint、Fedex、Intuit及iCloud。最常遭濫用的品牌是PayPal (68.3%) 及Google (27.9%),緊隨的是Sharepoint 和Fedex。
如何防範商業電郵攻擊
商業電郵攻擊得逞可能致使企業損失慘重。企業可採取簡單防範措施抵禦攻擊:
* 反制網路釣魚防護:商業電郵攻擊是一種網路釣魚威脅,企業可部署反制網路釣魚的解決方案防範攻擊。這些方案理應能識別商業電郵攻擊的危險信號(例如回覆地址與發件者電郵地址不符),使用機器學習分析電子郵件語言,捕捉網路攻擊的蛛絲馬跡。
* 員工培訓:商業電郵攻擊有目標地攻擊企業內的員工,因此電郵安全意識培訓甚為重要。企業必須培訓員工識別和應對商業電郵攻擊,盡力降低這種網路釣魚的威脅。
* 職責分離:商業電郵攻擊試圖誘騙員工在不驗證請求的情況下,進行高風險操作,例如轉帳或發送敏感資訊。企業應制定政策,要求高風險操作需經另一名員工獨立驗證,這有助於減少攻擊得逞的機會。
* 標籤外部電子郵件:商業電郵攻擊通常以相似的電郵地址,魚目混珠為內部電郵。企業可更改電郵程式設定,明確將來自公司以外的電郵標籤為外部郵件,從而識破這種伎倆。
Check Point香港及澳門區總經理周秀雲指出:「我們注意到網絡攻擊者使用全新的手法,濫用正當服務作網絡攻擊。在此類詐騙中,受害者會收到一封來自完全正當服務的電郵如PayPal、Google Docs,內含惡意網站的連結。我們稱這種攻擊為『網络釣魚詐騙3.0』,即濫用正當企業和服務的電郵攻擊。我們正使用Check Point Harmony Email & Collaboration方案,為企業提供專為商業電郵攻擊而設的防護,以及預防數據遺失。公眾應注意任何電子郵件中的連結,包括來自已知供應商和服務的連結。企業亦應實施雙重驗證、電子郵件過濾器等措施,避免遭受此類攻擊。
( 內容由有關方面代表提供, 經編輯後刊登 )
