【全民皆黑客?】CaaS攻擊究竟點樣提防?

    企業依賴不同網絡安全服務供應商維護,但黑客攻擊一樣都有服務提供!犯罪即服務 (Crime-as-a-Service, CaaS) 是有經驗的網絡犯罪分子,出售對執行網絡犯罪所需的工具和知識,並多見於發動網絡釣魚攻擊。CaaS 可謂是令人人都可以成為攻擊者的途徑!

    對於黑客來說,利用網絡釣魚手法,是竊取組織的數據最簡單方法之一,但一般而言,成功發起網絡釣魚活動的網絡攻擊者,需具備技術和社交工程知識相關經驗。但隨 CaaS 的出現,幾乎任何人都可以通過支付些微費用,搖身一變成為網絡釣魚高手。

    CaaS 服務供應商會向業餘攻擊者,提供讓他們能自己成功發動網絡釣魚攻擊所需的一切,包括詳盡的攻擊目標列表、電郵模板等。攻擊者甚至可以支付存取已被入侵的伺服器,以更容易隱藏痕迹,在入侵時的障礙減少,將令網絡釣魚攻擊變得更易,對被針對的目標組織來說將會是很大的難題。CaaS 令網絡釣魚成為一種對網絡犯罪分子而言,更具吸引力的攻擊方法,因為它更易存取資料,兼且勞動力低。當攻擊者可使用現成的網絡釣魚攻擊,來攻擊目標機構的安全漏洞時,就不需花費數月時間尋找漏洞,更可令網絡釣魚活動更容易擴展,換言之犯罪分子執行攻擊所需的時間和精力將減少。

    CaaS 具有可下載的模板,令缺乏相關知識的攻擊者同樣可發動攻擊,提升釣魚電郵成功進入企業員工的電郵信箱的機會,例如內容加密、隱藏附件中的 URL 來逃避檢測。由於攻擊者能夠執行大量技術複雜的攻擊,因此對組織的威脅是顯而易見的。最令人企業擔憂的是,這些釣魚活動易於執行且非常有效。

    由於使用 CaaS 工具執行的網絡釣魚攻擊大多針對員工,付企業及組織更難解決問題。他們使用社交工程策略來欺騙終端用戶,大多是透過欺騙信任和緊迫性的手段。他們可以使用公開的情報,例如從公司網站、社交媒體資料和過去的數據洩露中收集數據,以製作可信的魚叉式網絡釣魚活動。

    在 CaaS 出現之前,由入門級攻擊者發起的攻擊很可能是比較低劣,很容易被垃圾郵件過濾器阻隔或被員工識別。但是,通過存取經驗豐富的攻擊者的技術知識和模板,令業餘犯罪分子都能一開始就開展有效的釣魚活動。一次成功的網絡釣魚攻擊的後果嚴重,包括財務成本迅速增加,如補救措施的成本及監管罰款等;而業務中斷,還可能造成經濟損失。除此之外,受網絡釣魚影響的組織還面臨聲譽受損,削弱客戶的信任。

    許多組織將安全意識培訓,視為保護員工免遭網絡釣魚的最佳方式,可以為員工提供發現網絡釣魚攻擊的知識,但許多員工對惡意電子郵件的第一反應是先行動,後思考,所以只有他們停下來思考電郵內容時,培訓的知識才會發揮作用,這就是組織培訓安全意識至關重要的原因。為了真正保護他們的員工免受網絡釣魚的威脅,組織應採用零信任的智能技術,讓每封電子郵件到達用戶收件箱之前,其內容都已完成分析,並得到最高級別的保護。

    此外,利用機器學習和自然語言處理 (Natural Language Processing, NLP) 的解決方案,可以比靜態解決方案更有效地檢測高級網絡釣魚威脅,例如安全電子郵件網關 (Secure Email Gateway, SEG)。具有 NLP 功能的工具甚至可以檢測到最複雜的攻擊,包括那些使用受損帳戶,或利用公開情報的攻擊。

    CaaS 使攻擊者比以往任何時候都更容易開展危險的網絡釣魚活動,面對不斷增加的複雜攻擊,安全團隊必須保持警惕,組織必須確保他們使用正確的技術,來保護他們的員工和數據免受新一代網絡犯罪分子的侵害。

    資料來源:https://bit.ly/3A8xKRj

    #CaaS #CrimeAsAService #Phishing #犯罪即服務 #釣魚攻擊

    相關文章