Check Point：提防「網絡釣魚詐騙3.0」

網絡安全解決方案供應商Check Point軟件技術有限公司旗下企業Avanan指出，近日商業電郵攻擊出現變種，能濫用常見服務電郵 (如PayPal，Google Docs) 誘導公眾進入惡意網站，提醒企業提防「網絡釣魚詐騙3.0」。過去兩月內，全球已發現33,817宗濫用知名企業和服務發動的電郵攻擊。

何謂「網絡釣魚詐騙3.0」

濫用正當企業和服務的電郵攻擊源自以往的商業電郵攻擊，是目前最具破壞性、引致損失最為嚴重的網路釣魚攻擊類型之一。騙徒過往的手法是透過偽裝公司高層的電郵，提出正常的財務請求，例如為服務或現金券付款。這種手法依賴看似來自位高權重人士的真實郵件，而最常見的動機是誘導轉帳，並相信這是獲授權的商業交易。

而「網絡釣魚詐騙3.0」是，駭客使用真實、正當的企業服務執行攻擊行動。受害人會收到來自企業的電郵，內容隨附惡意網站連結。遭濫用的企業和服務網站既沒有惡意內容，也沒有任何漏洞，而駭客們正利用這些常見服務的正當性，進入受害者的郵箱。

據統計，網絡犯罪份子經常濫用的品牌包括Paypal, Google Docs, Sharepoint, FedEx, Intuit及iCloud，其中最常遭濫用的品牌是PayPal 及Google。

4種措施防範商業電郵攻擊

商業電郵攻擊得逞可能致使企業損失慘重，因此企業可採取以下4種簡單的防範措施，抵禦攻擊：

•  反制網路釣魚防護：商業電郵攻擊是一種網路釣魚威脅，企業可部署反制的方案防範攻擊，識別商業電郵攻擊的危險信號（例如回覆地址與發件者電郵地址不符），使用機器學習分析電子郵件語言，預防網路攻擊。

• 員工培訓：商業電郵攻擊有目標地攻擊企業內的員工，因此電郵安全意識培訓甚為重要。企業必須培訓員工識別和應對商業電郵攻擊，盡力降低這種網路釣魚的威脅。

• 職責分離：商業電郵攻擊試圖誘騙員工在不驗證請求的情況下，進行高風險操作，例如轉帳或發送敏感資訊。企業應制定政策，要求高風險操作需經另外的員工獨立驗證，減少攻擊得逞的機會。

• 標籤外部電子郵件：商業電郵攻擊通常以相似的電郵地址，混淆為內部電郵。企業可更改電郵程式設定，明確將來自公司以外的電郵標籤為外部郵件，從而識破騙局。

雙重驗證及電郵過濾器免受攻擊

Check Point香港及澳門區總經理周秀雲指出：「我們注意到網絡攻擊者使用全新的手法，濫用正當服務作網絡攻擊。在此類詐騙中，受害者會收到一封來自完全正當服務的電郵，內含惡意網站的連結。我們正使用Check Point Harmony Email & Collaboration方案，為企業提供專為商業電郵攻擊而設的防護，以及預防數據遺失。公眾應注意任何電子郵件中的連結，包括來自已知供應商和服務的連結。企業亦應實施雙重驗證、電子郵件過濾器等措施，避免遭受此類攻擊。