【百密一疏】花式釣魚 突破電郵防護規則

釣魚攻擊（Phishing attack），絕對係成本低、回報高嘅熱門網絡攻擊。雖然釣魚攻擊仲可以分為魚叉式（Spear Phishing）及商業詐騙（Business Email Compromise）等，但由於係針對指定對象攻擊，黑客要投入更多時間去理解偽裝角色同受害人的關係，所以無釣魚攻擊咁普遍。一般嚟講，無差別攻擊主要係用作盜取帳戶登入資料，例如 Microsoft Office、PayPal 等等，黑客首先會偽造相關網站登入版面，再用電郵將連結漁翁撒網式寄出去，等待獵物上釣。一旦收件人誤信連結內容為真，就可能到偽造網站親手輸入自己嘅登入資料，黑客就可以入侵相關帳戶。受害人不單止可能遭受信用卡盜用損失，如果係公司帳戶資料，更會連累公司機密資料外洩添！

為咗研究釣魚攻擊喺今年頭半年嘅特色，網絡安全公司 IRONSCALES 研究員就對相關嘅偽造登入網頁進行調查，結果發現頭半年有超過 5 萬個假網站，冒充超過 200 個全球知名品牌。其中被冒認得最多嘅 5 個品牌，分別係 PayPal、Microsoft、Facebook、eBay 同埋 Amazon，而 PayPal 同 Microsoft 夾埋已佔 4 成。理由好簡單，前者綁定咗信用卡可以偷錢，後者可以入侵公司帳戶嘛。而最常收到釣魚電郵的行業，就分別有金融、醫療、科技業及政府部門。

要攔截呢啲釣魚電郵，其實好睇電郵防護做唔做到嘢。不過，為咗避過傳統電郵防護系統分析偽造網站版面、依賴已知 Signature 攔截電郵及分析電郵內高危字句等方法，研究員發現喺 5 萬個假網頁內，有 5% 網頁屬於多動態，即係經常作出一啲小改變，同時黑客亦會喺電郵內容上花心思，避免使用特定字句，兩者加埋，就可以減少被判定為垃圾郵件嘅機會嘞。

雖然 Verizon 最新公布的 2020 Data Breach Investigations Report 指出，約 65% 數據外洩係由釣魚攻擊引起，但實際情況相信更嚴重，因為釣魚攻擊除咗用嚟呃登入帳戶資料之外，仲可以引導受害者安裝惡意程式，例如木馬、勒索軟件，一旦被開啟後門，機密資料就可以任人偷走，所以企業最重要嘅事，就係要增加員工培訓，提升戒心，同時亦要採用新世代電郵防護系統，靠專家或人工智能幫你分析惡意內容，咁就可以安心發展業務啦。資料來源：https://bit.ly/32wuHTP