網路釣魚被視為網路犯罪的一種,過去攻擊者通常利用垃圾郵件來欺騙受害者洩漏其個人敏感資訊,如使用者名稱、密碼或金融帳號資訊等,然而現今的網路釣魚不只使用傳統手法,駭客更精益求精,發展出更進階引人上鉤的技巧。ICANN資深安全技術官暨APWG(網路釣魚工作小組)董事Dave Piscitello於APWG網站撰文介紹新型態的網路釣魚方式,以及APWG如何因應日益複雜的釣魚手法,本篇就其文章做重點摘要。
現今攻擊者除了以各種社群媒體用戶為目標,還會在簡訊、Skype、Facebook Messenger或其他訊息服務中發送網路釣魚誘餌。另外,他們也會特別挑選有錢人,或有權限存取公司/政府金融帳務或敏感資訊的員工;這種針對性攻擊稱作「魚叉式網路釣魚」(spear phishing),例如假冒某高管人員與負責財務的員工通信,以假收據使其受騙並進行電匯,或是用BEC(商用電子郵件詐騙,business email compromise)來獲取敏感的業務資訊,這些方式比散播垃圾郵件的經濟效益更高。
其他的網路釣魚方式包括欺騙受害者在電腦中安裝惡意軟體,如root kit,即可讓攻擊者擁有遠端管理員權限,進而取得資訊或監測受感染的電腦。今日勒索軟體在網路釣魚攻擊上占了多數,駭客引導受害者下載惡意軟體,一旦安裝後,惡意軟體將鎖定用戶電腦或將硬碟裡所有檔案加密,向用戶勒索贖金以換取解鎖或解密的方法。
為了因應這些新型態的威脅,APWG成員需要更多更好的情報。APWG eCrime eXchange (eCX)現在支援隨選網路釣魚資料的輸入和檢索,電子犯罪調查員可以更快、更有效地取得最新資料。APWG也提供與加密貨幣識別碼和惡意IP位址相關的資料。另外,APWG成員還需要可靠的情勢情報和安全意識,透過eCrime會議,成員可與研究人員、從業人員分享新技術、了解實際案例並建立聯繫的機會。
最後,APWG成員還必須跟上影響網路調查的全球政策和法規,向負責隱私或資料保護法規的立法者提供專業知識和諮詢,這種知識共享能確保監管機構制定明智的政策,最近,APWG也致力於將資料收集符合歐盟2016/679 (GDPR)、APEC隱私框架和必要的國家法規。
若想了解更進一步的資訊,請參閱原文。
Photo created by rawpixel.com
