精準魚叉式網路釣魚 電子郵件威脅風險翻倍

傳統大量郵件攻擊採用一種嘗試正確（tried-and-true）的模式，仰賴類似散彈槍的方法——稱為網路釣魚。這種方法以非特定的收件人為目標，大量送出將惡意程式隱藏在本文或當成附件的電子郵件。駭客只能釣到一小比例的收件人，但一如其名「釣魚」，投入水中的釣魚線越多，魚兒上鉤的機會就越大。今天這或許仍是駭客們喜愛的手法，但卻有一個問題：魚兒變得比較聰明而不再咬餌。 使用者已經學會很謹慎地辨識這些攻擊。現在這種隨機攻擊的成功率可說相當低，雖然它確實曾經造成非常大量的使用者上當。除了使用者變得聰明，傳統電子郵件安全方案對於這些攻擊的辨識能力也趨於成熟，藉由一些技術偵測網路釣魚郵件，例如：

• 送件人郵件聲譽：用以辨識已知的垃圾郵件發送地址。
• 語彙分析：分析郵件內容以檢查是否包含常見於垃圾郵件的文字組合與句型。
• 防毒掃描：對付藏在電子郵件或附件內的已知病毒。

新型魚叉式網路釣魚

近年來值得注意的新攻擊手法叫作「魚叉式網路釣魚」（Spear-phishing），如果弄懂它真正的危險性，足以讓一些人嚇到不敢讀取電子郵件。魚叉式網路釣魚是一種少量動作而高度針對性的攻擊。電子郵件不再承諾你可以獲取財富或看到明星走光，變成看似完全正常合法，而惡意程式則藉由一個嵌入在郵件內的網址散播。

駭客在製作這些魚叉式網路釣魚郵件時，是以特定的收件人為目標，並且從社交網路和公共網站收集收件人的相關資訊。然後，駭客侵入一個合法的網域或伺服器，以便讓他們的郵件擁有一個良好聲譽的位址。他們利用調查得知目標收件人的資訊，從該良好聲譽的位址發送釣魚郵件，內容訊息經過社交工程編輯以提高收件人的點擊率。當收件人點擊郵件嵌入的網址，通常是連結到一個合法但已遭入侵的網站，電腦就會自動下載惡意程式，執行其所設計的動作並探尋網路的安全弱點。這是一種新的手法，但最終結果都一樣；竊取機密資料，目標收件人成為受害者。

以下是魚叉式網路釣魚攻擊的例子：小張喜歡看小貓影片。他在Facebook的貓咪粉絲團按讚，在微博張貼喜歡的小貓相片，甚至還有一個部落格用來點評YouTube最新的小貓影片。因此當小張收到來自他喜歡的一個小貓網站的郵件，要他點擊嵌入的連結就可以優先觀看最新的有趣影片時，他如何能拒絕？然後小張的電腦就被感染了，所有的個人和工作資料被傳送到駭客手中。

這類攻擊有時甚至會更具致命性。成功的魚叉式網路釣魚攻擊利用目標受害者天生的好奇心。有些更有效的企業攻擊則是在郵件的附件主旨下功夫，使用諸如「2013薪資指南」、「第一季徵才計畫」和「會議時間更動」等。另有些則是利用人們的恐懼心，例如法院傳票。

魚叉式網路釣魚極為有效，因為它來自可信任的來源，而且不一定都會與惡意程式相關，因此能夠繞過一般的安全防護。此外，它也不會使用一些經常出現在垃圾郵件的文字，而且掃描實際的訊息也沒有包含惡意程式。

在2012年，以研究網路安全著稱的美國橡樹嶺國家實驗室（Oak Ridge National Laboratory）成為魚叉式網路釣魚的攻擊目標，駭客成功誘使57位使用者點擊惡意連結，使得他們的網路暴露於外界威脅。

▲2012年，具備嚴密資安措施的美國橡樹嶺國家實驗室（Oak Ridge National Laboratory）也曾經成為魚叉式網路釣魚攻擊的受害者。

企業組織如何因應

如果你負責公司的資訊安全，那麼必然已經對魚叉式網路釣魚有所注意，而你也會希望獲得一些有用的反制訣竅。以下提供一些建議，協助你阻斷魚叉式網路釣魚攻擊。

取得即時Web分析，以判斷目前的網站威脅層級，包括社交網路網站。現在幾乎所有（92%）網路釣魚攻擊都會包含一個Web元件，以迴避傳統電子郵件閘道和防毒機制。嵌入在這些郵件的網址通常會連結到隱藏惡意程式的網站。

對於包含網址的可疑電子郵件採取孤立與沙盒（Sandbox）防範措施以進行即時分析。深夜寄達的電子郵件，可能包含了一個經閘道當下安全掃描確認無害的網頁連結，然而隔天早晨當收件人點擊連結時，那個網址或許已經變成遭植入惡意程式隱碼的網頁。每個星期平均有超過700件惡意程式利用這種攻擊模式散播，卻連頂尖的防毒引擎都無法偵測到。

分析所有外送資料，對敏感資料自動進行阻斷、隔離或加密，並監控可能洩漏重要資訊的資料型態。企業組織需要在電子郵件基礎設施和資料存取裝置（例如平板電腦和智慧型手機）建立一道額外的防線，以監控資訊流並預防資料外洩。

使用者教育：利用真實世界網路釣魚攻擊例子教育員工。如果使用者不遵循網路安全守則的話，即使安裝最新的安全方案也沒有意義。大多數員工在利用公司電腦或筆記型電腦檢查個人電子郵件帳戶時，都不會發現有什麼問題，因此使用者的警覺性是保護資訊的關鍵。

（本文作者現任Websense台灣區技術總監）