News

Barracuda《焦點報告》: 針對教育界釣魚攻擊

  •  
  •  
  •  

雲端安全解決方案供應商Barracuda發表最新《焦點報告》,就針對香港教育界的魚叉式網絡釣魚攻擊發出警示。

教育局就早前有9間學校成為網絡攻擊的目標,並洩露了學生和教職員工的個人資料,敦促學校提防網絡安全漏洞。香港生產力促進局亦啟動「香港教育部門網絡安全評分」(Cyber Security Score for Hong Kong Education Sector)計劃,以協助學校評估其應對風險的準備情況。 

由於很多學校和大專院校在疫情期間實施遙距教學,黑客洞悉到學生十分依賴電郵來接收老師、校長和院校主管的資訊,並加以利用當中的漏洞。Barracuda研究人員在2020年6月至9月期間,共檢測了逾350萬個魚叉式網絡釣魚攻擊,當中包括針對1,000多間教育機構如學校、大專院校和大學等。 

攻擊類型概況

研究發現,以教育機構為目標的「商務電郵詐騙」(Business Email Compromise,BEC)是一般企業的兩倍以上, 而且有逾四分之一針對教育界的魚叉式網絡釣魚攻擊,是屬於精心設計的BEC攻擊。

以網絡釣魚方式攻擊教育界逾1/4

重點威脅

魚叉式網絡釣魚是以特定企業或個人為目標的個人化攻擊,網絡犯罪分子正不斷調整針對教育等不同行業的攻擊方式。

研究發現,整體網絡攻擊的次數於夏季較為平均,踏入9月後明顯上升。對比 7、8 月暑假期間,教育界的魚叉式網絡釣魚攻擊顯著減少,較平均值下降 10 至 14%,但在9月開學後,攻擊次數就大幅增加。


於暑假期間,網絡犯罪分子對學校採取不同的攻擊方式,在 7、8 月主要利用電郵詐騙,因為針對性較低兼可大規模發送。

開學後,「冒充服務」的網絡釣魚攻擊則變得較為普遍,該類攻擊在6月和9月佔所有學校的魚叉式網絡釣魚攻擊約五成(分別為 47%和 48%),而在7月份無需上課期間,該數字下降一半以上。研究人員又留意到,「商務電郵詐騙」亦有類似的趨勢,即在學期內次數有所增加,而同期其他行業受到的網絡攻擊次數則相對穩定。

攻擊方式分析

根據分析,86%以教育界為目標的 BEC 攻擊,都是透過Gmail 帳戶進行,與一般企業遇到的情況類同。網絡犯罪分子傾向利用 Gmail 這類容易註冊、免費,並且擁有較高知名度的電郵供應商, 以發動針對性較強的 BEC 攻擊。此外,亦會利用具針對性及相關性的電郵主題,吸引受害者的注意和製造迫切感,以是次研究為例,當中有大量攻撃都是以 COVID-19 作為主題:

  • COVID19 最新情況
  • Covid-19 更新立即跟進
  • COVID-19 學校會議 
  • 有關:確保安全

研究人員還分析了從可能受到感染的內部帳戶發出的惡意電郵,即受感染的EDU帳戶作電郵攻擊的平台。 當檢視所有企業的惡意電郵(收到及發出)總數時,發現約有四分之一是從內部電郵帳戶發出的。 至於教育界的百分比明顯更高,達 57%。由此可見,教育界的帳戶被盗用作發送惡意電郵比他們收到的更多。

由於從合法電郵地址發出的電郵具有很高的可信性,是進行電郵攻擊的最佳平台,因此這些受感 染的帳戶對網絡犯罪分子而言極具利用價值,他們會在被揭發和被鎖定前,盡可能發送最多的惡 意電郵,故研究亦發現這些機構會有一些大規模的發送活動。

防禦方法建議

第一,建立針對網絡釣魚攻擊的防禦設施。教育界遭到「冒充服務」和「商務電郵詐騙」等的社交工程攻擊,遠比一般機構為多,故學校、大專院校和大學應優先考慮使用人工智能來識別異常的發件人和查詢,以確保電郵的安全性,加設額外防禦可為員工和學生提供相應的保護。

第二,盡早設置帳戶接管保護措施。與普通企業相比,教育機構更容易遇到「帳戶接管」的事故, 因此建議有關方面投資可識別異常活動和潛在帳戶接管的應對技術。

第三,加強安全意識教育。用戶是最後一道防線,因此應向他們講解現時教育機構所面臨的電郵 威脅, 以確保員工和學生能夠識別攻擊,並了解其欺詐性質和如何舉報。當遙距學習已成 為教育體系中不可或缺的部分,學生和教師均依賴科技和電郵進行通訊及教育,安全意識 培訓就顯得尤其重要。

第四,訂立內部政策以防電匯欺詐。包括教育機構在內的所有企業,都應訂立及定期審視現行公 司政策,以確保正確處理個人和財務資料。所有經電郵要求進行電匯和付款更改,都需要 親自或以電話確認和/或多人批准,避免員工犯下代價高昂的過失。


  •  
  •  
  •