釣魚詐騙電郵往往是黑客入侵機構的第一步,電視政府廣告也宣傳「要核實電郵者」身份,但原來仍有很多機構掉以輕心。McAfee 最新報告顯示多達八成企業用戶未能識破詐騙伎倆,而且財務和人力資源這類擁有企業最敏感數據的部門,在欺詐檢測方面表現竟然最差,令人咋舌。
最危險部門竟然最不敏感
最新《McAfee Labs 威脅報告》指出,釣魚詐騙仍然是黑客入侵企業網絡的一種有效手段。在 McAfee Labs 一項企業用戶檢測在線詐騙能力的測試中發現,在 7 封測試的釣魚詐騙郵件中,多達 80% 參與測驗的企業用戶至少有一封未能檢測出來。結果還顯示,財務和人力資源這類擁有企業最敏感數據的部門,在欺詐檢測方面表現最差,落後其他部門 4% 至 9%。
別以為來自熟識的電郵地址就掉以輕心,就像政府宣傳廣告一樣,即使來自可信來源的電子郵件也可能有害。同事可能無意間發送了受感染的鏈接或下載文件。即使真是你的同事發送的郵件,郵件也有可能已被感染、安全軟件也可能已過期或可能遺漏了安全警告。如果安全軟件警告你的鏈接或下載是惡意的,則切勿點擊或下載內容。
McAfee 報告指出,自 2005 年以來,因數據威脅而遭到攻擊的個人數據記錄超過 8.84 億條,網民始終無法確保所有來自所知來源的電子郵件都是無害的。詐騙郵件製造者可能假冒你的同事或朋友,因此在下載內容或點擊鏈接前,務必要核實電子郵件的發送方。
信任鏈每一部分都已被攻破
自上一季《威脅報告》發布以來,McAfee Labs 收集的新釣魚網址超過 25 萬個,使過去一年新發現的釣魚站點總數接近 100 萬個。不僅總量呈現增長傾向,釣魚攻擊的複雜性也顯著增強。研究結果顯示,大規模活動式釣魚詐騙 (Mass Campaign Phishing)和魚叉式釣魚詐騙(Spear Phishing)仍是全球網絡犯罪分子慣用的攻擊策略。美國仍然比其他國家或地區擁有更多的釣魚詐騙 URL。
McAfee Labs 高級副總裁 Vincent Weafer 警告,在過去幾年「信任鏈的每一個部分都已被攻破」 —— 從密碼到 OpenSSL 公共密鑰加密,再到最近的 USB 安全。人們高度依賴的基礎設施所基於的技術已跟不上時代的變化,且不再能夠滿足當今的需求。
報告還揭示了 Heartbleed 漏洞被公開曝光以來出現的新網絡犯罪「商機」—— 從存在漏洞的網站竊取的數據正在黑市上出售。未被修補的網站很快成為網絡犯罪分子覬覦的目標,他們利用現成的工具來「挖掘」這類存在漏洞的網站。借助這些工具,能夠與一個已知存在漏洞的設備為目標進而攫取敏感資料的自動化系統相關聯。
對抗釣魚電郵的專家建議
McAfee Labs 還給商業及個人電腦使用者防範釣魚詐騙的建議:
1. 確保及時更新您電子郵件、Web 和終端的安全產品。評估電子郵件、鏈接或下載的安全性時,要充分考慮安全軟件警告。
2. 看似無害的電子郵件並不意味著真的是合法的。當心格式錯或包含錯誤拼寫的電子郵件,尤其是來自知名公司的。不過要切記,電子郵件「看似無害」並不意味著真正無害,狡猾的釣魚詐騙郵件可能看上去與合法郵件別無兩樣。
3. 有些電子郵件地址顯然來自假冒的第三方網站,對於高明的釣魚詐騙製造者來說,讓一個電郵看上去與合法域如出一轍是輕而易舉的事。特別當心並且始終假設,電郵可能是一封網絡釣魚詐騙郵件,即使它看上去是無害的。
4. 與電子郵件地址類似,創建令人信服的 URL 對高明的釣魚詐騙製造者也不是難事。滑鼠懸停在電郵中的鏈接上可發現明顯的假冒痕跡,不過許多虛假 URL 做得足以亂真。有些安全軟件可為你檢查 URL 安全,不過如果有所懷疑可使用搜索引擎查找真實 URL。
5. 最安全的選擇是始終通過自己發現來掌控一切。如果在沒有可實時掃描 URL 的安全工具的情況下點擊鏈接,你可能會被鏈接拖入到它真正想讓你去的任何地方。多花十秒鐘自行搜索一下網站,這能確保你的公司免受數小時設備維修之苦、有效保護您的敏感信息,防範 ID 竊取。任何可信方都不會要求您通過電子郵件提供敏感信息。謹記預防為主,補救為輔。
