攔截網路釣魚
89% 的惡意郵件可規避電子郵件安全檢查
當今的現實由數位化互動主導,並依賴數位化互動。在眾多 IT 和安全風險中,位列榜首的是網路釣魚攻擊,每 10 起網路攻擊就有 9 起是以網路釣魚為初始入侵手段。僅在過去一年,網路釣魚就給全球企業造成了超過 500 億美元的損失,攻擊者冒充 1,000 多個不同的組織,發起了近 4,000 萬次身分欺騙威脅和超過 10 億次品牌假冒嘗試。網路釣魚確實有效,而威脅行為者永遠不會停止利用那些能讓他們成功入侵的手段。
為什麼?因為這些攻擊的對象是人,而我們喜歡聽好故事。事實上,有些人認為整個人類的行為本質上就是由故事驅動的。要讓這些攻擊奏效,網路攻擊者其實只需要運用一種策略,那就是「真實性」。其中,視覺上的真實性與品牌假冒網路釣魚最直接相關;而組織上的真實性,則與商業電子郵件入侵 (BEC) 網路釣魚最密切相關。
首要目標是達到「真實性」——例如,攻擊者會假冒眾所周知的知名品牌,讓人越來越難以辨別真假。一個典型的範例是:電子郵件攻擊者最常(佔 51.7% 的比例)假冒 20 個全球知名品牌的其中之一。這些品牌都是受歡迎且與大眾互動頻繁的企業,其中 Microsoft 位居榜首,其他如 Google、Amazon、Facebook 以及世界衛生組織 (World Health Organization) 也都在名單之列。
威脅執行者也會藉機利用與品牌相關的大型全球事件或趨勢來發動攻擊。舉例來說,當世界盃舉行時,會出現利用與世界盃相關資產的攻擊活動;當 G20 峰會召開時,也會有利用 G20 相關元素的攻擊行動;而當新冠疫情爆發時,更是湧現了大量利用疫情相關話題的攻擊。從某種角度來看,威脅執行者的手段其實非常可預測——他們會將現實世界中的重大事件延伸至網路空間。這也凸顯出一個事實:如同其他類型的攻擊一樣,網路釣魚攻擊同樣會利用最脆弱的環節——而在這些情況下,那個最脆弱的環節,正是人類天性中容易輕信他人的傾向。
當威脅行為者偽裝成合法使用者時,他們的第二個主要目標——誘騙受害者點擊連結或下載有害檔案——就很容易實現。人們會很自然地想要與(自認為)認識的人提供的及時連結或文件互動。今年早些時候,威脅行為者利用了矽谷銀行倒閉引發的混亂局面,開始對客戶進行攻擊。在一次大規模的網路釣魚活動中,威脅行為者偽裝成矽谷銀行 (SVB) 傳送以 DocuSign 為主題的「連結」,使用者點擊後會進入一個攻擊者控制的複雜重新導向鏈。
打擊網路釣魚攻擊的風險從未如此之高。儘管這個問題看似難以克服,但有三項關鍵措施可以增強任何組織的安全狀態:
1. 實施現代預防工具
一封詐騙電子郵件就有能力對組織造成重大傷害——標準的電子郵件收件匣安全工具無法抵禦這些攻擊。2013 年至 2015 年間,Facebook 和 Google 因為落入一場偽造帳單詐騙陷阱,合計損失高達 1 億美元。該詐騙手法是由攻擊者假冒這兩家科技巨頭的供應商,寄出一連串金額高達數百萬美元的假帳單。2016 年,奧地利航空零組件製造商 FACC 也因為一名員工誤信一封偽冒公司執行長身分的網路釣魚郵件,將資金轉帳給詐騙者,導致公司損失高達 4,700 萬美元。
威脅執行者經常利用熱門的服務提供者(例如 Microsoft 和 Google)來發動攻擊,這讓他們能夠規避常見的驗證檢查。當今的電子郵件安全程序需要在郵件抵達收件匣之前、期間及之後,部署多層次的防護措施。雖然 SPF、DKIM 和 DMARC 這些驗證標準是重要的安全防護步驟,但僅靠它們仍無法全面防範網路釣魚攻擊。這些標準並非設計用來偵測具有危險性的電子郵件和/或連結——這一點從「有高達 89% 的無用郵件能通過這些工具的檢查」這一事實便可得到證明。
對抗並跟上現代網路釣魚手法的关键,在於採取「預設已被入侵」的思維模式——永不相信,始終驗證。組織必須對每一封電子郵件實施 Zero Trust 安全模型。部署能抵禦網路釣魚攻擊的多重要素驗證、透過多重反網路釣魚防線來強化雲端電子郵件安全性,以及為員工提供安全的工具,這些都是實現 Zero Trust 安全模式的重要環節。
2. 正面解決問題
當流程和工具失效時,人們自然會投入更多資源來解決問題——更多的人力、時間和金錢。但這種做法是錯誤的,因為被動採取措施就意味著為時已晚。以垃圾郵件篩選器為例,雖然它們一度是電子郵件安全的主要關注點,但對於主動打擊網路釣魚攻擊而言,它們只是冰山一角。
將網路釣魚威脅分類到不同的類別中,雖然在其他情境下��可能有效,但若以全面性的角度來看待網路釣魚問題並試圖解決時,這種方法便顯得效果不彰。許多產業的網路釣魚報告將此領域過度細分,彷彿在處理一百種不同的問題——以一百種不同的方式來討論同一個威脅,反而讓人感到不知從何下手,難以制定有效的解決方案。我們需要的是一種全面性的策略。事實證明,將資料細分切割無法真正解決問題。隨著網路釣魚攻擊數量不斷上升,這一點變得愈發明顯。有高達 90% 的安全決策者認同:網路釣魚威脅的類型與範圍正在擴大。這清楚地表明,我們需要一套簡化且全面的策略,來保護我們的數位環境。
3. 將情報轉化為戰術成功
網路安全領域充斥著各種聲稱能夠增強安全性的解決方案,然而,很少有解決方案能夠有效解決日益嚴重的網路釣魚問題——而這種威脅幾乎是所有組織都無法倖免的。僅在 2022 年,Cloudflare 就偵測到超過 140 萬起 BEC 威脅,數量是 2021 年的兩倍,有 71% 的組織表示曾遭遇過商業郵件入侵的嘗試或實際攻擊。
這些資料表明,網路釣魚已滲透到各個產業,只需點擊一個連結即可有效摧毀傳統的安全投資。使用者更容易點擊連結而不是下載檔案,因為他們認為連結是一種更可靠的通訊方式。威脅執行者不斷利用這一人類弱點,導致惡意連結成為最常見的威脅類別,佔所有偵測到的威脅的 35.6%。這些連結和檔案可能導致認證收集、遠端程式碼執行(攻擊者可藉此安裝惡意程式碼或勒索軟體)、竊取資料或採取其他行動,最終僅透過控制一個工作站即可實現全面網路入侵。
隨著網路釣魚攻擊持續激增,企業領導者必須利用資料點來制定解決方案。這確保資源合理分配,從而主動防禦網路釣魚攻擊得逞而造成的資料外洩。資料清楚地表明,網路釣魚對各種規模的企業來說都是一個難以應對的問題,但關於如何運用資源來防止網路釣魚攻擊造成不可逆轉的損害,也有一些明確的答案。
情況並非全然悲觀:以現代化方式反制網路釣魚
數位生態系統日新月異,若要領先於網路釣魚攻擊,需要採取直接、主動的方法。組織可以使用 Zero Trust 安全模型來保護電子郵件,確保沒有任何使用者或裝置能夠對電子郵件或其他網路資源擁有完全且不受限制的存取權限。組織可以將多個防網路釣魚控制項整合到雲端電子郵件安全性中,以針對高風險攻擊暴露區域進行防禦,並實作防網路釣魚的 MFA 安全工具。
技術堆疊與自身組織文化同樣重要:大型組織內的團隊都有各自偏好的工具,因此,透過提升員工現有工具的安全性,滿足他們的需求,有助於防範潛在的網路釣魚攻擊。此外,鼓勵建立一種無責備且透明公開的文化,提倡「發現問題,立即報告」的舉報機制至關重要,因為從發現可疑活動到採取行動之間的每一分鐘都可能攸關重大。
透過實施現代技術解決方案、正面解決問題並利用資料驅動的解決方案,組織可以擺脫臨時解決方案的桎梏,全面保護自身及其資料免受網路釣魚攻擊。此類解決方案需要跨職能方法,將技術措施與組織意識相結合,建立強大的防禦體系,抵禦隱藏的網路釣魚威脅。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其中之一。
深入探討這個主題。
要瞭解有關最新網路釣魚趨勢的更多資訊,請獲取最新的《網路釣魚威脅報告》!
作者
Oren Falkowitz — @orenfalkowitz
Cloudflare 安全長
重點
閱讀本文後,您將能夠瞭解:
每 10 次網路攻擊中,就有 9 次以網路釣魚為初始手段
89% 的無用郵件通過了 SPF、DKIM 和 DMARC
強化組織安全狀態的 3 項關鍵措施