都用「雙重步驟」了還是會被釣魚攻擊 該如何防範?
編譯/Cynthia
近年來,雙重步驟釣魚攻擊(Two-Step Phishing,2SP)已成為網路釣魚的最新手法,專門用來避開傳統安全檢測,竊取使用者憑證。根據Perception Point於2024年11月17日的報告,這種攻擊的核心在於「信任滲透」,透過合法平台或文件格式降低使用者的戒心,像是駭客藉由外觀看似正常的商業文件吸引受害者操作,並在多層次的操作過程中設下陷阱。這些手法雖然技術複雜,但都運用人們對熟悉工具的信任來掩飾惡意行為。
駭客利用Visio文件的職場普及性
駭客近期濫用Microsoft Visio的.vsdx檔案格式,藉其在職場的普及性降低受害者的戒心。Visio是許多企業用來設計流程與視覺化資料的常用工具,其文件格式看似無害,卻成為駭客的新武器。
更多新聞:破解網路釣魚攻擊 最佳方法在這裡
這類攻擊分為兩步,第一步是誘餌(lure),通常以業務提案或採購訂單為主題,附上緊急請求的電子郵件吸引受害者打開附件;第二步是陷阱(trap),受害者點擊後會進入嵌有惡意URL的Visio文件,最終導向假冒的登入頁面進行憑證竊取。這些手法展現駭客如何精心利用職場工具欺騙受害者,讓人防不勝防。
利用合法郵件與熟悉操作的攻擊手法
駭客透過入侵合法的電子郵件帳號,發送看似可信的釣魚郵件,通常以提案或文件為誘餌,吸引受害者點擊內含的URL。一旦點擊,受害者可能會被重新導向到類似SharePoint的頁面,進一步接觸到惡意的Visio文件。而駭客要求受害者按下Ctrl鍵開啟嵌入的連結,此操作不僅繞過自動化安全檢測,也利用用戶的操作習慣。接著受害者會被引導至假冒的Microsoft365登入頁面,駭客藉此竊取憑證。
SVG檔案成為新型攻擊工具
SVG(可縮放向量圖形)檔案因其特殊的技術特性,成為駭客用來竊取憑證或執行惡意程式碼的工具。不同於傳統像素圖,SVG檔案的內容以文字形式存在,這讓它能輕易繞過多數安全掃描工具。常見攻擊手法包括嵌入惡意表單模擬登入頁面,或透過JavaScript將受害者導向惡意網站。例如,駭客可能利用看似嵌有Excel表單的SVG,誘導受害者輸入登入憑證並竊取敏感資訊。
強化防範網路釣魚的多層防護
面對越來越複雜的網路釣魚攻擊,提升防範措施已是當務之急。首先建議啟用雙因子驗證(2FA),為電子郵件帳號增添一道安全保障。對於非工作中常見的附件格式應格外謹慎,並仔細核對發件人及內容的真實性。同時,面對含有緊急請求的郵件,用戶需提高警覺,避免隨意點擊附件或連結。另外組織應加強安全認知教育,讓員工了解最新攻擊手法並養成良好的防護習慣。透過多層次的保護與持續學習,用戶能更有效地降低受攻擊的風險。
資料來源:Forbes
※探索職場,透視薪資行情,請參考【科技類-職缺百科】幫助你找到最適合的舞台!
瀏覽 208 次