Check Point：Microsoft成網絡釣魚最常冒充品牌

網絡安全供應商Check Point軟件技術有限公司發佈最新《2024 年第二季品牌網絡釣魚報告》，2024年第二季全球網絡攻擊年增30%，平均每間機構每週遭受1,636 次攻擊。同時，今年第二季香港的網絡攻擊輕微增加16%，平均每間機構每週遭受1,017 次攻擊。當中網絡犯罪分子冒充可信品牌，誘騙毫無防備的受害者突顯網絡釣魚攻擊日益嚴重的威脅。

網絡釣魚Apple第二、LinkedIn第三

其中Microsoft仍然是今年第二季網絡釣魚攻擊中最常被冒充的品牌，在所有網絡攻擊中所佔的比例超過一半，高達57%。Apple從2024年第一季的第四位躍升至第二位，佔10%，而LinkedIn則佔7%繼續佔據第三位。另外，新上榜品牌Adidas、WhatsApp和Instagram則是自2022年以來首次進入擠身十大最常被冒充的品牌。

科技行業首當其衝，仍然是網絡釣魚中最常被冒充的行業，其次是社交網絡和銀行業成為網絡犯罪分子的另外兩大攻擊目標。科技公司一般持有敏感資訊，包括個人信息，財務信息和其他賬號權限，以致他們在攻擊者眼中成為較有價值的目標。榜上有名的公司如 Microsoft、Google、亞馬遜，提供基本和常用的服務如電郵、雲端儲存和網購，使得用戶更容易相信和回應看似來自重要服務供應商的信息。

Check Point香港及澳門總經理周秀雲强調網絡釣魚攻擊的威脅持續存在，並表示：「網絡釣魚攻擊仍然是最普遍的網絡威脅之一，更是大規模供應鏈攻擊的切入點，爲了防範網絡釣魚攻擊，用戶應謹記核實寄件人的電郵地址，避免點擊来路不明的連結，以及在賬號啓用多重身份驗證 (MFA)。此外，用戶亦應使用網絡防護軟件，確保定時更新以助辨別和阻止網絡釣魚攻擊。」

主要網絡釣魚品牌

以下是 2024 年第二季十大最常被冒充的品牌（按在網絡釣魚攻擊中的總出現率排名）：

1. Microsoft (57%)
2. Apple (10%)
3. LinkedIn (7%)
4. Google (6%)
5. Facebook (1.8%)
6. 亞馬遜（Amazon） (1.6%)
7. DHL (0.9%)
8. Adidas (0.8%)
9. WhatsApp (0.8%)
10. Instagram (0.7%)

Adidas網絡釣魚攻擊活動

Check Point Research 在上一季發現多宗冒充 Adidas 網站的網絡釣魚攻擊。

這些詐騙網站例如adidasyeezys[.]cz與adidasyeezys[.]it ，高度模仿Adidas 官方網站 https://news.adidas.com/yeezy 的外觀設計，企圖讓使用者誤以為它們就是Adidas Yeezy 的官方網站。它們利用與官方網站高度相似的外觀誘騙用戶輸入登入憑證和個人信息以成功竊取敏感資料。同樣地，adidas-ozweego[.]fr與adidascampus[.]co[.]at也在冒充 Adidas 官方平台。

此外， adidasoriginalss[.]fr 目前似乎沒有進行網絡釣魚，而是轉為投放廣告。

Instagram 網絡釣魚攻擊

Check Point 研究團隊在上一季觀察到大量利用Instagram進行網絡詐騙的攻擊活動，Instagram亦因此在受網絡釣魚影響主要品牌排行榜中躍升至第十位，為其自2022年以來的首次上榜。

近月，Check Point Research 發現有冒充 Instagram 誘騙用戶洩露個人登入信息的網絡釣魚攻擊活動。其中一宗案例涉及一個託管在 instagram-nine-flame].[vercel].[app/login（圖1）模仿 Instagram 登入畫面的網絡釣魚網頁。該虛擬網頁託管在創建 React 軟件平台 Vercel上，誘騙用戶輸入其用戶名稱和密碼。

另外一宗攻擊活動則使用域名 instagram-verify-account].[tk（圖2）。雖然現時已停止運作，但此頁面先前曾顯示一條打著驗證Instagram賬號幌子的消息，藉此誘騙用戶輸入個人信息。此類詐騙手法旨在利用用戶對 Instagram 的信任，誘導用戶洩露個人資料。