網路成本最低、成功率最高的陷阱 - 釣魚郵件
ASRC 研究中心主任 高銘鍾

網路釣魚技術最早出現於1987年,首度使用「網路釣魚」(Phishing)這個術語則是在1996年。Phising源自於英文單字釣魚 ─ Fishing,只是將最前面的「F」改為「Ph」,讀音幾乎一樣,這樣的改法大概是受到當時描述常利用電信、電磁手法,盜用電話或網路相關資料的「Phreaking」一詞影響。根據統計,2004年至2005年,大約有120萬電腦使用者在美國遭受網路釣魚,其所造成的損失總計約為92900萬美元。在RSA公司2013年的詐騙調查報告中也指出,光是2013年印度已因釣魚攻擊蒙受了高達2億2千5百萬美元以上的損失。

網路釣魚所採用的方式非常多種,舉凡偽造或轉接網址、網站偽造、假冒來電顯示的電話號碼、WIFI免費熱點,都是網路釣魚可能使用的手段。而其中以電子郵件發送帶有惡意程式、超連結或各種欺騙訊息,並掺入社交工程手法誘使收信人配合執行的釣魚郵件,則是近年來最為氾濫,也是成本最低、成功率最高的釣魚手法。

願者上勾,釣魚郵件的對象與標的

常見的釣魚郵件一般以無特定目標廣撒式發送,採「願者上勾」的方式釣取受害人;但其中部份釣魚郵件並不廣撒,而是僅針對特定人員、公司、組織的發送,目標為釣取特定人員機敏資料或於其電腦植入木馬,此行為被稱為魚叉式網路釣魚(Spear phishing);更進一步,較魚叉式網路釣魚更具針對性的鯨釣(whaling),則是直接瞄準大型公司、重要人物發送特定釣魚郵件的攻擊。

而釣魚郵件直接騙取的東西,大略可分為三種:機敏資料、金錢財物、執行惡意程式。機敏資料最大宗被騙取的大約是金融服務相關登入帳號及密碼,後續可能也是為了金錢財物目的,其次可能是如電子郵件或其它網路服務的登入資料;而直接騙取金錢財物的釣魚郵件多半是在內容中聲稱有不錯的財務合作方案,或是中大獎,以誘騙受害人匯款;最後一種則是希望得到受害者電腦的控制權,在釣魚郵件中放置惡意程式、超連結,並誘騙受害人開啟,當然,若受害人的電腦有安裝防毒軟體並可偵測出來,這類郵件則會被歸納為病毒郵件的範疇。


釣魚郵件試圖誘騙收信人執行惡意程式。

除此之外,還有一種較為特別的複製型釣魚攻擊(Clone phishing)。這類釣魚郵件會故意仿造受害人常收到信,或從已獲取的電子郵件帳號密碼,讀取其中正在談及金錢財物交易內容的信,並仿照過去通信,將匯款的帳號或機敏資料傳遞的位址改掉,從中取得利益。

運用心理戰術,攻擊人性弱點

在「Crimeware: Understanding New Attacks and Defenses」書有一段提及,在2005年的一份電話調查指出,約有2%的人承認收到釣魚郵件後,遵從信中的指示提供相關資料。也即是在100個釣魚郵件的攻擊標的中,就有2人會被攻擊成功,現金的釣魚郵件有越來越精緻化的趨勢,相信成功率絕對較2%為高。

釣魚郵件中最精華的部份當屬社交工程的手段了。社交工程的成功率與受攻擊標的的心理狀態、釣魚者(Phisher)對攻擊標的的掌握度,以及受攻擊標的的疏忽程度息息相關。

一般騙取金融或網路服務登入資料的釣魚郵件,多半利用受害人的恐懼心理:比方通知帳號被停用,需登入並確認相關資料後才能繼續使用等話術,搭配一個以假亂真的釣魚網站騙取機敏資料;而另一種歷史較悠久的奈及利亞詐騙(419 scams),則利用收信人的貪念或同情心,發送聲稱只要幫忙付某人遺產的稅金,即可分享其遺產;或者發生天災時,貼上一則並要求募款金的釣魚詐騙郵件。

容易被疏忽的釣魚郵件,多半是以一般常見通知、公務通信的面貌出現。這類信由於收信人經常收到,因此可能習慣以機械化的方式做處理或回應,因此就容易上勾。尤其若受攻擊的標的周遭人員的電子郵件信箱帳號密碼已被釣魚者獲取,再根據騙取的電子郵件信箱過往與受攻擊標的的通信習慣編製並發出的釣魚郵件,就幾無防範的可能。



假的訂單資料,其中藏有惡意文件檔案。這類社交工程攻擊手法,通常也是系統性的APT攻擊前奏。

三步驟防範釣魚騙術

釣魚郵件要攻擊成功,一般需要至少滿足三個步驟:釣魚郵件發送、受害人接收、受害人依釣魚郵件期望行動。只要能破壞其中一個步驟,釣魚郵件就無法順利完成攻擊。以下針對這三步驟提出一些有效的防範方式:

  • 妥善保護帳號密碼,避免成為釣魚郵件發送的幫兇
    我們無法直接讓有意圖發送釣魚郵件的人停止發送 (或許向有關單位檢舉能達到一定程度的效果)。我們能做的是不要成為釣魚郵件發送的幫兇!妥善保護好任何通訊管道的帳號密碼,除了能保護自己免於受害外,也能確保自己的信用不被釣魚者濫用。
  • 電子郵件應先過濾,對可疑郵件抱質疑
    使用任何可以使用郵件過濾機制,避免與釣魚郵件接觸。當收到可疑郵件要求提供機敏資料時,或突然從電子郵件中接獲能分得別人遺產、中獎或要求捐款的訊息,應抱持質疑的態度,並勿依照郵件中的指示行動,應獨立尋求其他連絡管道進行確認。
  • 運用上網過濾機制增強防線
    使用任何可以信賴的上網過濾機制,金融單位服務的相關警示或防護機制,可能的話也盡量啟用最嚴謹的防護。切莫忽略來自防毒軟體、上網管控機制的警示,以免成為釣魚郵件攻擊下的受害者。
回到列表