釣魚、釣魚釣到什麼魚?淺談社交工程演練於企業之重要性
Cindy Liu / Marketing Specialist
「全球知名的科技公司遭釣魚郵件攻擊。攻擊者偽裝成公司高層,透過釣魚郵件詐騙財務部門,要求進行一筆大額資金轉移。」這樣的新聞內容不僅似曾相識,還天天上演。在數位化的今日,釣魚郵件是網路攻擊的主要手段之一,因為攻擊者能從人的信任、好奇心等人性弱點中看見破口,只要願者上鉤,便能達到目的。根據2024 iThome CIO大調查的結果,未來一年五大資安風險中,社交工程手段被受調者視為是最擔憂的資安風險,可見此攻擊手段之猖獗。為防止營運及聲譽遭受危害,企業人員須了解社交工程手段,並進行有效的演練措施。本篇文章將探討釣魚郵件和社交工程演練的重要性,並提供實用的保護指引。
釣魚郵件是什麼?
釣魚郵件(Phishing Email)是一種試圖詐取受害者敏感訊息(如登錄憑證或信用卡資訊)的欺詐郵件,是最常見的社交工程攻擊手段之一。為使人上鉤,攻擊者通常會偽裝成合法的機構或網域,並以看似可信的內容格式和語氣誘使收件人進行指令、點擊惡意連結或下載附件。一旦用戶未能識別,提供了機敏資料或下載了惡意軟體,攻擊者就能進一步入侵系統,竊取資料或執行其他惡意操作,最終將因一人的疏忽造成企業龐大的損失。
▼ 攻擊者仿冒一段字串相近的網域偽裝成企業經常往來之供應商窗口,在未留意的情況下容易點擊進入惡意網站執行付款。
常見釣魚信件類型 :
- 偽造成中獎通知或好康相報信件,誘使收件人點取連結或開啟附件
- 假冒官方帳號通知用戶系統升級、帳號停用、容量擴充等
- 宣稱已取得收件人個資,造成收件人驚慌,再予以勒索
▼ 好康相報型釣魚郵件案例
▼ 假冒官方帳號通知用戶系統升級
▼ 信件標題為收件者的Zoom密碼,駭客要求被害人以比特幣支付2,000美元贖金,若未於24小時內支付,則會將被害人的「私密影片」公布至其社交網路
為何企業需要社交工程演練?
看似無害又合理正是網路釣魚攻擊如此成功的原因,一般人對「專業人士」、「官方帳號」的信任,卻可能成為盲點。此外,隨著AI趨勢崛起,釣魚郵件不僅生成更快速,還能夠自動化發送信件擴大攻擊範圍;許多攻擊者現在也會透過生成式AI來製作郵件內容,使之較以往精緻且專業。對此,收件人將更難辨別真偽,導致企業內部被駭客入侵的風險提升。
為避免企業內部人員無意間成為資安破口,必需加強人員對社交工程手法的認知,並藉由定期的演練,讓員工習慣具潛在風險的環境,提升威脅識別能力,以防範隨時可能面臨的社交工程攻擊。
社交工程演練所帶來的效益
透過設計及模擬社交工程情境,比如發送釣魚信件與員工進行接觸,來記錄員工的反應。根據演練結果,提供檢測報告及報告說明,以及企業資訊環境改善建議,並針對員工進行資安意識教育訓練,以提升員工對資安威脅的敏銳度,總地來說,執行社交工程演練能達到以下成效:
- 提高員工警覺性:社交工程演練能幫助員工培養危機意識,學會識別潛在的資安威脅。定期的演練更可讓員工熟悉常見的攻擊手法,並學會如何應對。
- 檢視企業防禦成效:透過模擬攻擊,企業可評估現有的資安防護措施是否有效,有助於審視資安防禦漏洞,並針對其進行改進。
- 增強企業資安意識與文化:定期進行社交工程演練能夠培養企業整體的資安意識,更建立長遠的資安文化。
落實社交工程演練以防患於未然
社交工程攻擊對企業構成了挑戰,隨著AI科技進步,挑戰也變得更加嚴峻。社交工程演練已然成為部分組織之必要教育訓練,藉由定期演練,不斷更新最新攻擊手法,加強員工及檢查的習慣,才能持續提升企業的資安防禦能力,以建構嚴密的資安防禦網。
預防勝於治療👉立即諮詢社交工程演練服務