精準魚叉式網路釣魚 電子郵件威脅風險翻倍

精準魚叉式網路釣魚 電子郵件威脅風險翻倍

張貼者:2013年8月21日 下午12:26黃景煌

資料來源: http://www.netadmin.com.tw/article_content.aspx?sn=1306270002

傳統亂槍打鳥已失效 


傳統大量郵件攻擊採用一種嘗試正確(tried-and-true)的模式,仰賴類似散彈槍的方法——稱為網路釣魚。這種方法以非特定的收件人為目標,大量送出將惡意程式隱藏在本文或當成附件的電子郵件。駭客只能釣到一小比例的收件人,但一如其名「釣魚」,投入水中的釣魚線越多,魚兒上鉤的機會就越大。今天這或許仍是駭客們喜愛的手法,但卻有一個問題:魚兒變得比較聰明而不再咬餌。 使用者已經學會很謹慎地辨識這些攻擊。現在這種隨機攻擊的成功率可說相當低,雖然它確實曾經造成非常大量的使用者上當。除了使用者變得聰明,傳統電子郵件安全方案對於這些攻擊的辨識能力也趨於成熟,藉由一些技術偵測網路釣魚郵件,例如:

由於這些防護技術已相當可靠且有效,因此現在許多頂尖的電子郵件安全方案都保證可以偵測99%垃圾郵件和100%已知病毒。然而,使用者知識與安全措施的提升並無法阻止駭客的惡意企圖,他們一心想要侵入你的電腦、資料、網路、甚至你的世界。一如令人厭惡的病毒,駭客的手法不斷進步並且採用截然不同的新技術。 


新型魚叉式網路釣魚 


近年來值得注意的新攻擊手法叫作「魚叉式網路釣魚」(Spear-phishing),如果弄懂它真正的危險性,足以讓一些人嚇到不敢讀取電子郵件。魚叉式網路釣魚是一種少量動作而高度針對性的攻擊。電子郵件不再承諾你可以獲取財富或看到明星走光,變成看似完全正常合法,而惡意程式則藉由一個嵌入在郵件內的網址散播。 


駭客在製作這些魚叉式網路釣魚郵件時,是以特定的收件人為目標,並且從社交網路和公共網站收集收件人的相關資訊。然後,駭客侵入一個合法的網域或伺服器,以便讓他們的郵件擁有一個良好聲譽的位址。他們利用調查得知目標收件人的資訊,從該良好聲譽的位址發送釣魚郵件,內容訊息經過社交工程編輯以提高收件人的點擊率。當收件人點擊郵件嵌入的網址,通常是連結到一個合法但已遭入侵的網站,電腦就會自動下載惡意程式,執行其所設計的動作並探尋網路的安全弱點。這是一種新的手法,但最終結果都一樣;竊取機密資料,目標收件人成為受害者。 


以下是魚叉式網路釣魚攻擊的例子:小張喜歡看小貓影片。他在Facebook的貓咪粉絲團按讚,在微博張貼喜歡的小貓相片,甚至還有一個部落格用來點評YouTube最新的小貓影片。因此當小張收到來自他喜歡的一個小貓網站的郵件,要他點擊嵌入的連結就可以優先觀看最新的有趣影片時,他如何能拒絕?然後小張的電腦就被感染了,所有的個人和工作資料被傳送到駭客手中。 


這類攻擊有時甚至會更具致命性。成功的魚叉式網路釣魚攻擊利用目標受害者天生的好奇心。有些更有效的企業攻擊則是在郵件的附件主旨下功夫,使用諸如「2013薪資指南」、「第一季徵才計畫」和「會議時間更動」等。另有些則是利用人們的恐懼心,例如法院傳票。 


魚叉式網路釣魚極為有效,因為它來自可信任的來源,而且不一定都會與惡意程式相關,因此能夠繞過一般的安全防護。此外,它也不會使用一些經常出現在垃圾郵件的文字,而且掃描實際的訊息也沒有包含惡意程式。


在2012年,以研究網路安全著稱的美國橡樹嶺國家實驗室(Oak Ridge National Laboratory)成為魚叉式網路釣魚的攻擊目標,駭客成功誘使57位使用者點擊惡意連結,使得他們的網路暴露於外界威脅。