Search Results: 釣魚 (340)

    Green Radar (劍達(香港)有限公司) 發表 2021 年第四季度的電郵威脅指數 Green Radar Email Threat Index(GRETI),第四季指數顯示為 65.9 分(第二及第三季分別為 63 分及 64.6 分),反映企業面臨的電郵威脅風險維持於高水平並持續上升。根據分析,網絡釣魚和商業電郵詐騙攻擊仍是最常見的電郵威脅,風險級別水平為「高」。今季報告亦發現,近期受到社會熱議的非同質化代幣(NFT)成為黑客的釣魚目標,主要由於其高回報的投資特性,令不少人為賺錢而容易墮進黑客陷阱 。 根據今季 GRETI…

    研究顯示九成網絡攻擊源自釣魚電郵,員工能否正確分辨,便成為企業防避入侵的重要因素。研究機構 ETH Zurich 一項跨 15 個月的調查發現,即使企業為員工提供安全意識培訓,如員工經常接觸到釣魚電郵,也有可能重複犯錯。要提高員工的辨識率,必須讓他們養成舉報的習慣。 該項調查的結果共收集了 14,733 個企業員工的數據,而且歷時長達15個月,目的是顯示哪類員工最易上當、企業在受測試過程中被入侵的風險有否改變、員工安全培訓的作用,以及員工的參與能否有助偵測釣魚電郵。研究員只向答應參與的企業發出模擬釣魚電郵,而該公司的員工全不知情。而在虛假的釣魚電郵內,研究員同時設置了一個按鈕,讓員工可以輕易向 IT 部門舉報懷疑收到釣魚或垃圾電郵,從而觀察員工會如何處置這類信件。 在過往一些同類調查中,結果曾顯示女性會較易打開釣魚電郵,但在這次測試中,研究員指未有發現性別的中招率存在差異,相反年輕或年長的員工,較傾向會點擊打開電郵內的惡意檔案或連結。而屬於重複犯錯的「repeated clickers」,佔整體調查對象的 30.62%,會授權啟動文件內的 Macros 或於釣魚網站輸入帳戶登入資料的亦 23.91%,另外,對於工作上需要經常接收電郵的員工來說,就算擁有較高安全意識,但有 32.1% 最終也會出現抗毒疲勞,至少墮入陷阱一次。安全意識培訓問題上,調查結果顯示模擬釣魚電郵測試及自發性參與安全培訓,未能有效減少員工的中招率;無論電郵系統內顯示的威脅資訊如何詳細,似乎亦無助降低員工的打開機會。結果顯示企業如想靠員工自行阻止釣魚攻擊,實在未許樂觀,管理者應該認為採購有效的電郵防護服務及安裝反釣魚電郵過濾器。 有趣的是,研究員發現如電郵內提供一鍵舉報按鈕,反而有助企業及早標籤釣魚電郵攻擊。從調查報告中可見,員工的整體舉報釣魚電郵的準確度達…

    釣魚電郵又有新攻擊手法,黑客利用 Microsoft Exchange 伺服器早前被發現的 ProxyShell 及 ProxyLogon 漏洞,入侵企業帳戶,假扮員工向其他人發送內部回覆電郵,成功避過電郵防護系統的攔截。要成全這種攻擊,最要感謝企業 IT 部門未有為伺服器安裝安全更新檔案。 釣魚攻擊的成功率,取決於電郵能否令收件者相信沒有可疑之處,例如發送者的身份有否被驗證、電郵內的連結或檔案是否可疑等。從人類角度出發,如收件者的安全意識夠高,首先會檢查發送者的電郵地址是否偽裝、電郵內文是否錯字連篇;而從電郵防護系統出發,分析的準則就更多,系統甚至會檢查連結傳導的網頁是否與官方有分別。在眾多因素影響下,釣魚電郵攻擊者便要不斷改變攻擊方法,才能讓電郵落入收件夾及令收件者開啟惡意檔案或連結。網絡安全公司 Trend Micro 研究員最近便發現了一項有趣的攻擊手法,並撰文於網誌上跟大家分享。 研究員指出,黑客這次的目標是入侵企業電郵系統,當取得其中一個員工的電郵帳戶後,便會利用回覆電郵手法,將帶有惡意軟件的電郵發送給其他員工,如有員工信以為真,黑客便可於對方電腦安裝惡意軟件如 Qbot、IcedID、Cobalt Strike 及 SquirrelWaffle 等,當中滲透測試工具…

    人工智能技術提高攔截釣魚電郵的準確度,於是網絡罪犯又變陣,反利用人工智能盲點避開攔截。最新方式是利用算術符號取代知名品牌logo上的文字,例如美國電訊商 Verizon,就俾罪犯用平方根符號代替V字,驟眼睇好似 logo 原貌得來又有些微差別,令電郵呃到人又呃到人工智能,高招! 網絡安全業界均肯定人工智能技術,必然有助提升惡意行為的攔截率,因為它具備機器學習功能,而且又能快速從不同渠道搜集網絡威脅資訊及趨勢,因此無論在調查及處理速度、標準化上,都較人類優勝。不過,始終人工智能的演算法都會依循一定規條,因此只要掌握它的規則,便有辦法找到入侵盲點。以這次打著 Verizon 旗號的釣魚電郵為例,一般人工智能技術都會著重檢查電郵內的品牌標誌是否偽造、內含的跳轉連結是否已被確認用於惡意行為等。網絡罪犯就利用這個規則,以平方根取代品牌的 V 字,令人工智能不會認為它是偽造的 Verizon 標誌,成功通過第一關。 不過,網絡罪犯當然不會單靠這招通關,這次發現的釣魚電郵攻擊還有其他招數。當收件者信以為真,點擊電郵內的語音留言 button,就會將收件者帶到一個虛假的 Verizon 網站。由於這次的目標是要令收件者以為正在瀏覽官方網站,所以網站的圖文排版都抄襲得一模一樣,專家指罪犯偷用了官方網站的 HTML 及 CSS 素材,因此才能令收件者信以為真。網絡罪犯亦特別利用新的 domain…

    網絡威脅無孔不入,其中透過電郵入侵更是常見的手法,在疫情影響下,對網絡及雲端環境的依賴,令危機擴大。電郵安全公司 Green Radar 劍達(香港)有限公司發表香港首份電郵威脅指數報告,第二季指數顯示為 63 分(最高為 100 分),反映企業面臨的風險水平維持高位,當中釣魚電郵(Phishing Email)及商務電郵詐騙(BEC)處於高風險水平,惡意軟件(Malware)的威脅則處於中風險水平,企業應保持高度警覺。 Kenneth 指,商務電郵詐騙(BEC)屬新型威脅,處於高風險水平。 報告公布 2021 年第二季度首個電郵威脅指數 Green Radar Email Threat Index(GRETI),有別於一般以全球數字作基準的分析,Green Radar…

    雖然勒索軟件、木馬程式佔據了網絡安全新聞的頭條,不過,超過 90% 網絡攻擊都是由釣魚電郵發動,因此企業了解電子郵件威脅的趨勢仍是最重要的工作,因為每一封繞過電郵防護系統進入的釣魚電郵,都有可能導致嚴重的數據外洩事故,造成無法估計的損失。 釣魚電郵中最常見的攻擊方法是騙取帳戶登入資料,因為黑客毋須於電郵中放入惡意軟件,只須引誘受害者到虛假網頁填交資料,因而通過電郵防護系統的機會更大,而這種攻擊主要依賴員工的網絡安全意識高低,去識別是否陷阱。除此之外,電郵防護系統的攔截功能主要建基於已知的攻擊手法、有問題的伺服器位址等,所以未能對付新的攻擊手法,必須借助人類的知識,根據收集到的安全威脅情報去預測攻擊趨勢,因此單憑電郵防護系統是無法完全阻止釣魚電郵攻擊。 在電郵安全領域上,被阻截的惡意電郵數量並不能真正反映系統是否成功,衡量標準應該落在通過安全關卡後的釣魚電郵,是否能夠在演變成數據外洩事故前被迅速偵測出來。不過,電郵防護服務供應商並不傾向分享這些數據,在商言商,這種做法完全合理,因為分享系統無法第一時間攔截的數據對他們並沒有益處,反而有可能影響客戶的信任,而且公開後便需要快速修補問題,以彌補放入釣魚電郵的漏洞。 換一個角度說,防護工具的攔截方法始終有迹可循,黑客可通過嘗試調整攻擊策略,以成功讓釣魚電郵進入正常郵箱;不過,黑客難以估計員工的識別標準,可通過防護系統並不等於可成功騙取員工。既然沒有任何防護系統可 100% 阻止網絡攻擊,而企業亦無法單靠人力處理數以千計的安全警報或完全識別惡意電郵,關鍵便在於如何結合雙方,真正推動電郵安全水平。 企業平常必須為員工進行安全意識培訓,而對於安全意識經理來說,模擬攻擊必須接近真實的威脅,即因應當時的社會狀況、潮流、時間,作為模擬攻擊的主題。安全意識經理應與和 SOC 安全運作中心齊心協力設計模擬,以密切模仿針對特定行業的最新威脅。 關於如何模擬電郵攻擊及處理未能通過模擬安全測試的員工,企業亦須特別注意,警告或懲罰只會顯著下降員工的士氣,而且即使員工不慎中招,也不應嚴厲責罵,以免令他們日後不敢上報,反而令作業環境變得更不安全。 資料來源:https://bit.ly/3rXtIs6

    數據備份儲存公司 Cloudian 最近公布一項調查指,即使曾接受反網絡釣魚培訓課程,但仍有 65% 的勒索軟件受害者,因為網絡釣魚而深受其害,反映勒索軟件組織仍以網絡釣魚,作為攻擊公司的主要方式。 有關調查的訪問對象為過去兩年曾遭遇勒索軟件攻擊的 200 名 IT 決策者,超過一半的受訪者表示,曾安排員工接受了反網絡釣魚培訓,有 49% 的受訪者表示,在受到攻擊時,已採取防禦措施。近 25% 的受訪者表示,他們的勒索軟件攻擊是透過網絡釣魚展開,而在這些受害者中,有 65% 曾接受反網絡釣魚培訓課程。對於員工人數少於 500 人的企業,41% 的企業表示他們的攻擊因網絡釣魚而中招;大約三分之一的受害者表示,他們的公共雲是受攻擊的切入點。 報告指出,調查結果反映網絡釣魚陷阱日益複雜,攻擊者會模仿為受害者的信任的人如同事或上司,發送釣魚電郵,這種攻擊又稱為…

    美國燃料公司 Colonial Pipeline 勒索事件被二次利用,黑客以相關新聞作為釣魚電郵主題,「呼籲」收件人點擊安裝電腦系統更新檔案。如果黑客掌握到更多目標企業的內部資料,例如人事架構、IT 部門職員的電郵地址,相信會更易令員工中招! Colonial Pipeline 今年五月初被勒索軟件 DarkSide 攻擊,導致美國東岸城市陷入燃油短缺危機,Colonial Pipeline 為了盡快回復業務運作,被迫繳付約 500 萬美元贖金。停運期間不單霸佔了時事、財經版的頭條新聞,就連其後勒索軟件集團 DarkSide 的基礎設施失守、被俄羅斯政府劃清界線等消失,亦於網上討論區瘋傳,因此以往就算未曾聽過 Colonial Pipeline 的人,現在都會知道它的存在,甚至會主動關心相關消息,作為茶餘飯後的討論話題。 難得有公司登上「全球熱搜榜」,黑客組織自然不會放過機會,網絡安全公司…

    最近有一個大規模的網絡釣魚活動,表面偽裝成勒索病毒,但實際上是特洛伊木馬惡意軟件,並在 Windows 系統中創建了後門,以從受害者的裝置中的竊取用戶名,密碼和其他信息,聽落相當蠱惑! 這個以 Java 為本的 StrRAT 惡意軟件,在受感染的電腦裝置中創建後門,表面上如勒索軟件一樣,但實際上是分散受害者注意力,以偷取其個人憑證資料。Microsoft 網絡安全研究人員指出,這個 StrRAT 惡意軟件正以大型電子郵件活動散播,利用受感染的電子郵件帳戶來傳送聲稱與付款相關的郵件,以及以 PDF 附件圖象使之更像真;當用戶打開這份附件,便會被導向至下載 StrRAT 惡意軟件的網頁。 研究人員形容,此惡意軟件的最新版本是比之前的版本更混亂及模組化,除了具有相同的入侵電腦後門功能,包括收集密碼、記錄、操作執行遠程命令和使用 PowerShell 的能力,還包含讓攻擊者可以全權控制受感染的電腦的能力。 在感染過程中,惡意軟件會在文件中添加 .crimson…

    近日先後有燃油管道營運商及保險公司等跨國大企,受到勒索軟件攻擊,連位於香港的子公司同樣受到牽連。眾所周知,勒索軟件經常跟釣魚電郵「拍住上」,黑客透過釣魚電郵,誘使受害人下載勒索軟件,因此,若果大家能夠精明地辨識出郵件真偽,揪出惡意郵件,受到勒索軟件攻擊的機會便有望大大降低。其實黑客發送的釣魚電郵蛛絲馬迹可識破,wepro180 請來電郵防護網絡保安公司 Green Radar 銷售高級副總裁(Senior Vice President, Sales)馬偉雄(Kenneth Ma),講解釣魚電郵特點,教大家辨別電郵真偽,防範勒索軟件來襲。 留意寄件者電郵地址 特殊字符有古怪 Kenneth 表示,要判斷收到的電郵是否釣魚電郵,第一步是查看寄件者的電郵地址,皆因黑客為了規避一般電郵系統的網域認證檢查,經常會利用一些特殊字符,例如是 ƒ、ⱺ、ṛ 等,來假冒他人網域,如果收件人一時大意,將假冒域名「rnicrosoƒt.com」誤當成「microsoft.com」,便會中招。 假冒網域混淆視聽 文法錯誤露馬腳 「另一種常見的黑客假冒手段,就是在惡意網站的主域名前,加上假冒對像的網域名。」Kenneth 以「microsoft.happy123.com」為例,指出收件人收到這個電郵地址發出的郵件後,容易以為這是微軟所發送的正常郵件,「但其實『happy123.com』 才是主域名。」除了留意寄件者電郵地址,Kenneth 亦提醒,很多釣魚電郵的內容都是系統自動生成,因此經常會出現錯字,例如「Your」變成「You」,「大企業的電郵很少出現這些低級錯誤。」 馬偉雄(Kenneth…