劍達(香港)有限公司(「Green Radar」或「公司」)發佈了最新的電子郵件威脅指數 Green Radar Email Threat Index(「GRETI」或「指數」),作為自 2023 年開始的年度回顧,年度指數顯示為69.7分。指數與上年度的66.5分相比有所增加,反映電郵威脅風險持續上升,應保持警惕。
根據分析,本年度的網絡釣魚(Phishing)和商業電郵詐騙(BEC)攻擊繼續處於「高」風險級別水平。2023 年發生了不少針對政府部門的網絡攻擊,導致數百 GB 的資料遺失和甚至業務資料庫被盜,受入侵的組織被黑客勒索贖金並聲譽受損。當然,事故原因不乏人爲錯誤但系統爲何不堪一擊亦十分值得反思。由此可見,網路釣魚仍是黑客首選的網絡攻擊手法。香港電腦保安事故協調中心(HKCERT)亦在早前公佈在2023年共處理 7,752 宗保安事故,其中網絡釣魚更佔整體個案接近一半(3,752宗,佔48%),對比2022年上升27%,數字創五年新高。與網絡釣魚相關的連結更突破19,000條,相當於每日至少受到52次與釣魚有關的攻擊。
人工智能助長網絡威脅 Quishing攻擊手法有變
根據GRETI的分析,今年預計會有更多利用AI策劃網絡攻擊的情況出現。這是因為AI技術的應用可以幫助犯罪分子生成惡意軟件,同時降低了他們的技術門檻。在新一代的釣魚攻擊中,黑客不僅使用傳統的電郵方式,還運用AI Deepfake技術來冒充他人身份,以贏得受害者的信任,從而詐騙金錢。因此網絡釣魚仍然是最流行的電郵威脅類型,並且在本年度繼續保持上升趨勢;因此企業更需要部署相應的網路釣魚防護解決方案來保護員工和企業免受威脅。
Quishing方面, 黑客用更改了背景顔色和錯誤比例的QR Code 圖片取代以往使用完整QR Code的釣魚電郵,使電郵安全閘道更難透過光學字符識別(OCR) 將這些影像識別為 QR Code。顯示黑客有試圖用不同的Quishing手法攻擊,證明了他們在幕後進行了廣泛的研究工作,以增加網絡釣魚命中率。
GRETI注意到黑客在設計具針對性的攻擊時,會利用誘餌來吸引收件人的注意。例如假冒受信任和認可的品牌或機構,原因是因為知名品牌在消費者中建立了一定的信任。以SOC攔截到的假冒香港終審法院例子來說,本土化程度高但一般市民大衆收到相關電郵時不免衍生緊張、恐慌的情緒,因此會來不及識別當中的真僞。就這個例子而言,黑客嘗試引導收件人點擊看似正確的文件名稱鏈接並導向其至創建的假網站,務求令網絡釣魚取得成功。
縱觀全年,DHL、WeTransfer、Meta、Spotify和Amazon分列假冒品牌排行榜的前五名。黑客利用假冒知名品牌的策略,透過製作偽造的廣告、促銷活動、優惠等手段,誘使受害者提供個人資訊或進行金錢交易。這些黑客能夠充分利用品牌的信譽、價值和廣泛知名度,從而提高詐騙成功的機會。因此,請保持警惕,仔細驗證其真實性,以免成為黑客的目標。
2024年新型網絡釣魚 – 克隆網路釣魚(Clone Phishing)
隨著大家了解到網路釣魚意識培訓的重要性,黑客找到可以繞過培訓並誘騙用戶陷入憑證盜竊的新方法。克隆網路釣魚類似於線程劫持,是一種基於電郵的新型威脅,克隆網絡釣魚會把帶有附件的真實電郵,再假冒原始寄件者重新發送。然後附件被惡意程式替換,但外觀與原始文件相似,因此很難被發現。
注意,克隆網路釣魚並不總是透過電郵回覆的方式進行而是取決於您的業務方式。有時,攻擊是通過複製一封已知企業發送的電郵並將合法的電郵副本發送給目標收件人。由於克隆網路釣魚通常是從合法電郵地址發送,因此無論是否有適當的網路安全措施來阻止,該電郵也會傳遞到使用者的收件匣中。而這封惡意電郵可能附帶勒索軟件或其他任何形式的惡意附件,用於竊取數據。
Green Radar服務運營執行副總裁李祟基先生表示:「網路釣魚攻擊可以透過不同的媒介進行,其中最常見的是電郵。攻擊目的是竊取憑證以接管帳戶,可能導致企業敏感資料外泄和詐欺轉帳等嚴重後果。由於攻擊利用人性弱點,必須防止員工成爲潛在漏洞。員工教育固然重要,但遠距工作和大量郵件和訊息處理使辨識複雜攻擊更困難,因此使用合適的網路釣魚防護解決方案至關重要。」