釣魚攻擊成漏網之魚 電郵過濾器怎麼了
編譯/Cynthia
網路釣魚(Phishing)是一種常見的網路攻擊手法,駭客常偽裝成合法機構或可信賴的來源,誘使受害者提供敏感資料。這類攻擊常針對個人及企業,造成重大財務損失和聲譽受損。根據反網路釣魚工作小組(The Anti-Phishing Working Group,APWG)的報告,2024年第一季全球共發現超過96.3萬起網路釣魚攻擊事件,顯示出這類攻擊仍具高度威脅,值得我們持續關注並採取防範措施。
商業電子郵件詐騙的風險上升
商業電子郵件詐騙(BEC),是一種專門針對企業的網路釣魚手法,駭客通常冒充高層主管或合作夥伴,誘騙員工提供敏感資訊,或執行未經授權的操作。2024年第一季,商業電子郵件詐騙案件顯著增加,每筆匯款請求平均達到8.4萬美元(新台幣約269.43萬元),增長50%。這顯示出網路釣魚在網路犯罪中的影響力正持續上升。隨著這類詐騙的增加,企業面臨的風險也在加大,迫切需要更創新和有效的反釣魚措施來保護企業免受此類攻擊。
更多新聞:【學長姐帶路】網路釣魚攻擊防禦手法
釣魚攻擊如何突破電子郵件過濾器
針對電子郵件過濾器的釣魚攻擊手法越來越複雜。根據LevelBlue Labs的網路安全研究,駭客會利用多種技術漏洞和社交工程,來繞過電子郵件安全系統。這些方法包括偽裝成合法的電子郵件地址、使用受信任的域名、以及生成可信的SSL證書等,以通過電子郵件過濾器的檢查。這些技術讓駭客能夠避開傳統的安全措施,增加釣魚攻擊的威脅性和成功率。
駭客如何繞過電子郵件安全網關
駭客採用多種策略來規避安全電子郵件閘道(SEG)的檢查,包括使用語音釣魚(vishing)結合電子郵件誘餌,利用被入侵的SharePoint帳戶來散佈惡意的OneNote文件,或者從合法的個人電子信箱,發送針對性的釣魚郵件。此外,駭客還透過使用受信任的域名和有效的SSL證書,來通過SPF、DKIM和DMARC檢查,達到欺騙過濾系統的目的。這些技術手法讓釣魚攻擊更難被偵測,增加企業和個人的安全風險。
應對進階駭客手法的防範建議
駭客不斷進化其攻擊手法,使得檢測惡意內容變得越來越困難。他們會利用開源情報(OSINT)進行精準攻擊,藏匿惡意內容在ZIP檔案中,甚至利用反向文字顯示技術來混淆內容。這些進階手法,使得傳統的釣魚檢測措施難以奏效。面對這些挑戰,用戶必須提高警覺,持續了解最新的網路釣魚手法,並增強安全認知。不僅要依賴技術工具,也要加強自我保護,才能有效應對不斷演變的威脅。
資料來源:Cyber Security News
※探索職場,透視薪資行情,請參考【科技類-職缺百科】幫助你找到最適合的舞台!
瀏覽 1,143 次