人工智能技術提高攔截釣魚電郵的準確度,於是網絡罪犯又變陣,反利用人工智能盲點避開攔截。最新方式是利用算術符號取代知名品牌logo上的文字,例如美國電訊商 Verizon,就俾罪犯用平方根符號代替V字,驟眼睇好似 logo 原貌得來又有些微差別,令電郵呃到人又呃到人工智能,高招! 網絡安全業界均肯定人工智能技術,必然有助提升惡意行為的攔截率,因為它具備機器學習功能,而且又能快速從不同渠道搜集網絡威脅資訊及趨勢,因此無論在調查及處理速度、標準化上,都較人類優勝。不過,始終人工智能的演算法都會依循一定規條,因此只要掌握它的規則,便有辦法找到入侵盲點。以這次打著 Verizon 旗號的釣魚電郵為例,一般人工智能技術都會著重檢查電郵內的品牌標誌是否偽造、內含的跳轉連結是否已被確認用於惡意行為等。網絡罪犯就利用這個規則,以平方根取代品牌的 V 字,令人工智能不會認為它是偽造的 Verizon 標誌,成功通過第一關。 不過,網絡罪犯當然不會單靠這招通關,這次發現的釣魚電郵攻擊還有其他招數。當收件者信以為真,點擊電郵內的語音留言 button,就會將收件者帶到一個虛假的 Verizon 網站。由於這次的目標是要令收件者以為正在瀏覽官方網站,所以網站的圖文排版都抄襲得一模一樣,專家指罪犯偷用了官方網站的 HTML 及 CSS 素材,因此才能令收件者信以為真。網絡罪犯亦特別利用新的 domain…
Browsing: Phishing
疫情期間催化黑客攻擊,其中國家級黑客的威力更不容小覷。Google 公布目前為止,已向其用戶就有國家資助(State-sponsored)的黑客攻擊發出 50,000 次警告,相比 2020 同期增加 33%。Google 提醒用戶啟用多重因素身份驗證功能,以保護帳戶。 Google 安全工程師和威脅分析組織 (Threat Analysis Group, TAG) 團隊成員 Ajax Bash 在博客指,發出多次警告的原因,是因為阻止了一個名為 APT28 或…
安全意識培訓真係有用㗎!根據 IT 安全公司 F-Secure 最新發表的研究報告,有1/3由員工舉報的可疑電郵,的確內藏惡意行為,例如包含虛假網站連結、帶有惡意功能的附件。萬一有惡意電郵可以繞過防護系統進入收件箱,員工就是一條重要的防線,所以老闆們一定要做好培訓工作呀! 不少調查顯示,九成企業入侵事件是通過釣魚電郵達成,例如員工誤信電郵內容打開帶有病毒的附件,又或被引導至虛假網頁然後輸入公司帳戶資料,另外亦有員工墮入商業電郵詐騙 (BEC) 陷阱,將鉅款匯入犯罪集團的銀行帳戶,令公司帶來難以估計的損失。而 F-Secure 最新發表的報告,便著眼於員工舉報可疑電郵的準確度。 研究團隊一共分析了 20 萬封由企業員工於今年上半年舉報的可疑電郵,結果確認 33% 電郵的確帶有惡意行為。最多員工認為電郵有可疑的原因,有 60% 認為當中含有可疑的連結,其次為電郵由可疑或不明人士發送,其他如電郵內有可疑附件或疑似垃圾訊息,都是員工決定舉報的主要元素。另外,研究員又指出,如有「Warning」、「Your funds has」或「Message is…
雖然勒索軟件、木馬程式佔據了網絡安全新聞的頭條,不過,超過 90% 網絡攻擊都是由釣魚電郵發動,因此企業了解電子郵件威脅的趨勢仍是最重要的工作,因為每一封繞過電郵防護系統進入的釣魚電郵,都有可能導致嚴重的數據外洩事故,造成無法估計的損失。 釣魚電郵中最常見的攻擊方法是騙取帳戶登入資料,因為黑客毋須於電郵中放入惡意軟件,只須引誘受害者到虛假網頁填交資料,因而通過電郵防護系統的機會更大,而這種攻擊主要依賴員工的網絡安全意識高低,去識別是否陷阱。除此之外,電郵防護系統的攔截功能主要建基於已知的攻擊手法、有問題的伺服器位址等,所以未能對付新的攻擊手法,必須借助人類的知識,根據收集到的安全威脅情報去預測攻擊趨勢,因此單憑電郵防護系統是無法完全阻止釣魚電郵攻擊。 在電郵安全領域上,被阻截的惡意電郵數量並不能真正反映系統是否成功,衡量標準應該落在通過安全關卡後的釣魚電郵,是否能夠在演變成數據外洩事故前被迅速偵測出來。不過,電郵防護服務供應商並不傾向分享這些數據,在商言商,這種做法完全合理,因為分享系統無法第一時間攔截的數據對他們並沒有益處,反而有可能影響客戶的信任,而且公開後便需要快速修補問題,以彌補放入釣魚電郵的漏洞。 換一個角度說,防護工具的攔截方法始終有迹可循,黑客可通過嘗試調整攻擊策略,以成功讓釣魚電郵進入正常郵箱;不過,黑客難以估計員工的識別標準,可通過防護系統並不等於可成功騙取員工。既然沒有任何防護系統可 100% 阻止網絡攻擊,而企業亦無法單靠人力處理數以千計的安全警報或完全識別惡意電郵,關鍵便在於如何結合雙方,真正推動電郵安全水平。 企業平常必須為員工進行安全意識培訓,而對於安全意識經理來說,模擬攻擊必須接近真實的威脅,即因應當時的社會狀況、潮流、時間,作為模擬攻擊的主題。安全意識經理應與和 SOC 安全運作中心齊心協力設計模擬,以密切模仿針對特定行業的最新威脅。 關於如何模擬電郵攻擊及處理未能通過模擬安全測試的員工,企業亦須特別注意,警告或懲罰只會顯著下降員工的士氣,而且即使員工不慎中招,也不應嚴厲責罵,以免令他們日後不敢上報,反而令作業環境變得更不安全。 資料來源:https://bit.ly/3rXtIs6
企業依賴不同網絡安全服務供應商維護,但黑客攻擊一樣都有服務提供!犯罪即服務 (Crime-as-a-Service, CaaS) 是有經驗的網絡犯罪分子,出售對執行網絡犯罪所需的工具和知識,並多見於發動網絡釣魚攻擊。CaaS 可謂是令人人都可以成為攻擊者的途徑! 對於黑客來說,利用網絡釣魚手法,是竊取組織的數據最簡單方法之一,但一般而言,成功發起網絡釣魚活動的網絡攻擊者,需具備技術和社交工程知識相關經驗。但隨 CaaS 的出現,幾乎任何人都可以通過支付些微費用,搖身一變成為網絡釣魚高手。 CaaS 服務供應商會向業餘攻擊者,提供讓他們能自己成功發動網絡釣魚攻擊所需的一切,包括詳盡的攻擊目標列表、電郵模板等。攻擊者甚至可以支付存取已被入侵的伺服器,以更容易隱藏痕迹,在入侵時的障礙減少,將令網絡釣魚攻擊變得更易,對被針對的目標組織來說將會是很大的難題。CaaS 令網絡釣魚成為一種對網絡犯罪分子而言,更具吸引力的攻擊方法,因為它更易存取資料,兼且勞動力低。當攻擊者可使用現成的網絡釣魚攻擊,來攻擊目標機構的安全漏洞時,就不需花費數月時間尋找漏洞,更可令網絡釣魚活動更容易擴展,換言之犯罪分子執行攻擊所需的時間和精力將減少。 CaaS 具有可下載的模板,令缺乏相關知識的攻擊者同樣可發動攻擊,提升釣魚電郵成功進入企業員工的電郵信箱的機會,例如內容加密、隱藏附件中的 URL 來逃避檢測。由於攻擊者能夠執行大量技術複雜的攻擊,因此對組織的威脅是顯而易見的。最令人企業擔憂的是,這些釣魚活動易於執行且非常有效。 由於使用 CaaS 工具執行的網絡釣魚攻擊大多針對員工,付企業及組織更難解決問題。他們使用社交工程策略來欺騙終端用戶,大多是透過欺騙信任和緊迫性的手段。他們可以使用公開的情報,例如從公司網站、社交媒體資料和過去的數據洩露中收集數據,以製作可信的魚叉式網絡釣魚活動。 在 CaaS…
2020 年東京奧運會即使在疫情影響下,所有人都未能入場觀看全球盛事,但仍無阻黑客活動,不受地域所限的網絡世界,隨時帶來無窮商機,美國聯邦調查局 (FBI) 就警告,網絡威脅者可能會針對奧運會發動攻擊,雖然現時尚未發現任何攻擊東京奧運會的活動及相關證據,但都不能掉以輕心。 美國情報部門發布的一份私營行業的通知中提到,聯邦調查局至今未發現針對奧運會的任何具體網絡威脅,但提醒一眾合作夥伴應保持警惕,並在其網絡和數碼環境下保持最高度的防護。正如 FBI 所指,由犯罪分子或由國家支持的威脅參與者,或策劃針對東京夏季奧運會的攻擊,可能涉及DDoS攻擊、勒索軟件、社交工程、網絡釣魚活動或內部威脅等。 由於今年奧運會是第一個按照因疫情,而需要觀眾透過網上平台或電視廣播觀看比賽,所以更有可能吸引惡意攻擊者的額外關注。而他們的攻擊可能會造成賽事直播中斷,而攻擊者在將資料加密前或入侵 IT 系統後,便會洩露敏感數據,影響支撐奧運會的數碼基礎設施,其最終目標很可能是賺錢、散播混亂、增加其「知名度」、詆毀對手等。 而在今年稍早之前,已有 2020 年東京奧組委的數據遭到洩露。FBI 指出,在今年 5 月下旬,日本信息技術設備和服務公司 Fujitsu 披露一宗洩露其多家企業和政府客戶數據的漏洞,包括東京 2020 組委會和日本國土交通省。…
數據備份儲存公司 Cloudian 最近公布一項調查指,即使曾接受反網絡釣魚培訓課程,但仍有 65% 的勒索軟件受害者,因為網絡釣魚而深受其害,反映勒索軟件組織仍以網絡釣魚,作為攻擊公司的主要方式。 有關調查的訪問對象為過去兩年曾遭遇勒索軟件攻擊的 200 名 IT 決策者,超過一半的受訪者表示,曾安排員工接受了反網絡釣魚培訓,有 49% 的受訪者表示,在受到攻擊時,已採取防禦措施。近 25% 的受訪者表示,他們的勒索軟件攻擊是透過網絡釣魚展開,而在這些受害者中,有 65% 曾接受反網絡釣魚培訓課程。對於員工人數少於 500 人的企業,41% 的企業表示他們的攻擊因網絡釣魚而中招;大約三分之一的受害者表示,他們的公共雲是受攻擊的切入點。 報告指出,調查結果反映網絡釣魚陷阱日益複雜,攻擊者會模仿為受害者的信任的人如同事或上司,發送釣魚電郵,這種攻擊又稱為…
如果你是酒店職員,見到有入住客人行李內有一大堆充電線,你會否懷疑對方有不軌企圖?傻啦,香港人 Staycation 會帶備大量電子產品,有一抽 cable 有幾奇?偏偏英國一間酒店的職員,就因為懷疑客人而報警,結果先捉到 SMishing 詐騙犯咋! SMishing,泛指經 SMS 發送詐騙訊息,令接收一方相信訊息的內容,從而點擊內裏連結或致電回覆,從而騙取更多個人資訊的方法。它可算是點擊內裏的手法釣魚攻擊 (Phishing) 的一種,但由於以 SMS 為攻擊媒介,因此名字才有不同。早前美國電訊商 Verizon 發表的 Mobile Security Index 2020,便指至少有 17% 的釣魚攻擊源自 SMishing,可見普及性絕對不容忽視。 正如上面所講,英國曼徹斯特警方上星期接獲酒店職員通知,最終在酒店房間擒獲一個21歲青年,懷疑使用大量 SIM卡…
金融機構及其客戶,一直是網絡罪犯的頭號攻擊目標,最常用的攻擊手法便是釣魚電郵(phishing)或更專門的魚叉式電郵(spear phishing),因此金融業界要保護客戶,便必須從電郵安全方面著手,例如準確設定各種電郵驗證技術,防止罪犯冒充銀行發電郵進行詐騙。 正確啟用電郵安全功能,最大好處是只有金融業界發送給客戶的電郵,只能從核實的郵件服務器發出,令犯罪分子只能註冊使用類似的網域發送電郵,只要收件者夠細心,便能從網域上分辨真偽,再者亦容易被電郵防護工具的威脅情報所過濾,減低詐騙電郵的成功率。不過,並非所有金融服務都會引入這些安全措施,其中聯邦信用合作社(Federal Credit Union)便沒有足夠防護。根據 IntelFinder 最近進行的一項研究顯示,在 300 個 FCU 機構中,只得 8% 啟用了強大的電郵安全工具。 IntelFinder 專家特別檢查了FCU 機構中的 SPF 和 DMARC 記錄是否存在,以及…
幾時都話,用短訊或電郵做 2FA 雙重驗證唔係絕對安全。雖然 Google 今年初先加強咗 Android 系統嘅 2FA 驗證漏洞,阻止第三方應用軟件開發公司擅自讀取 SMS 或通訊資料。不過最近已經有研究員發現有 Android 惡意軟件可以繞過此防線,繼續盜取一次性密碼 (OTP, One-Time Password)。 研究員 Stefanko 喺早前發現,一款冒充土耳其加密貨幣交易平台 BtcTurk…