這是一個比網路更有歷史的伎倆 – 透過假冒成某人所信任的對象,來讓對方提供其私人資訊。
網路匿名是為詐欺者製造一個更好掩蓋其真實身份的機會。在網路上,人們容易聽信詐欺者的話,相信他們就是他們所想假扮的人。 事情常常就是這樣發生。
這就是我們所說的網路釣魚。而這是一個非常簡單的技倆。
從早期有網路開始,就一直有部份的人們在網路上從事這類型的詐欺。 最早的例子於 1996 年 1 月被記載在 Usenet 小組中,當時的用戶回報有其他用戶冒充 AOL 的員工並向他們要求提供帳號訊息和賬單明細。
這與 Gandi 用戶在過去一個月來所收到的釣魚信件大同小異 – 這些郵件地址佯裝成我們客服團隊的郵件地址,要求用戶點擊連結以更新其域名,否則將有可能失去他們的域名。
在網絡釣魚攻擊中,攻擊者通常都能夠輕易猜到或是透過其他方式找到域名持有人的電郵地址,進而偽裝成別人;而域名持有人常會因為其域名的潛在價值而特別成為攻擊目標。攻擊者還可以透過 WHOIS 找到欲攻擊之域名的註冊商,因此這些攻擊的進行並不會影響註冊商的數據庫。
雖然進行網路釣魚攻擊不會洩漏數據,但它們通常是切入的關鍵點。 根據 Verizon 2019 年數據洩露調查報告顯示,網路釣魚是導致數據洩露的首要原因。
那麼為什麼網路釣魚問題持續了 20 幾年?我們現在不就應該解決這個問題嗎?
下列幾個理由將向您解釋,為什麼網路釣魚攻擊事件到現在仍持續發酵。
1. 低成本,高獲利
光是『網絡釣魚』這個關鍵字名稱就足以讓攻擊者繼續使用它。 就像在水中放下誘餌並等待魚兒上鉤那樣,網絡釣魚通會發送數十萬封電子郵件並等待某人去點擊郵件。
等待魚兒上鉤並不會花上太多時間,因為即使只是咬了一口誘餌都有可能是條大魚,很快地,對攻擊者來說這就會是筆成本相對較低但獲利高的生意。
2. 電子郵件容易偽造
電子郵件詐騙是指偽造電子郵件的發件人姓名或地址。
就像網路上的許多底層協議一樣,電子郵件是一種非常古老的協議,而當初構建協議的人並不認為偽造的電子郵件發信人是現今的一大問題。
現在甚至還有『合法詐欺』,在使用某些應用程序或某些電子郵件的時候可能需要將寄件人地址設置為實際電子郵件以外的內容。
這使得網絡釣魚者很容易將他們的電子郵件偽裝成看似來自合法的來源。
3. 人的問題 (PEBCAK)
PEBCAK (Problem Exists Between Chair And Keyboard) 指的就是在椅子與鍵盤中間的人,在電腦安全環節中最脆弱的部份總是用戶們,然而這並不是在說用戶們不夠聰明。相反地,詐欺者不但非常善於利用電子郵件等協議中的弱點,而且還懂的利用個人戶們的心理弱點。
其中一種方法是假裝有一個共同且可靠的來源。在工作場合中,可以假裝是同事又或者是老闆。這往往是個非常有效的方法,因為您會誤以為是您的老闆需要一些重要文件而沒有多加懷疑。
其它型態的釣魚信件可能也會佯裝成是緊急郵件,像是旅遊通知或是取貨通知都是很有效的詐騙手法。
當您因為擔心而感到焦慮時,可能會降低您的警覺心而忘了仔細檢查訊息來源。
那我們可以怎麼處理呢?
降低網絡釣魚低成本/高產量的經濟效應是件困難的是,但是我們可以採取一些措施去解決網絡釣魚這個史上最受歡迎的攻擊的另外兩個原因。
電子郵件寄件人能夠防範電子郵件的詐欺事件。
第一種防禦方式為 SPF。SPF 代表寄件人的策略框架,它允許域名持有人定義他們郵件伺服器的 IP 地址。如果在域名中啟用 SPF ,當收件端郵件伺服器從該域名收到電子郵件時,則可以檢查該寄件端域名是否有 SPF 記錄,如果有,而且該寄件端電子郵件來自的 IP 位址與在 SPF 記錄中的 IP 位址不匹配,它便可以將電子郵件標記為垃圾郵件。
第二種防禦方式為 DKIM。DKIM 是一種『簽署』電子郵件的方式。它會在每個寄出的電子郵件中放置一個特定的加密簽名(建立使用加密公鑰),以及在 DNS 中驗證它的密鑰。
在 Gandi,我們目前使用的是 SPF ,同時也在積極部署 DKIM 的防禦方式。
再更進一步還有 DMARC,這是一種整合 SPF 以及 DKIM 的協議, 還有可用於衡量政策效率的報告功能。
最後,是一教育問題。它永遠說不夠,唯有接收到的此消息的人越多,人們才越會記住它:如果您收到要求您登入帳號或提供帳號資訊的電子郵件,請驗證該連結是否使用 HTTPS 並在點擊前確認連結是確實連結到您認為的位址。如果一切看起來都都需要再確認,請確認其發出相應的 TLS / SSL 安全憑證的來源是否與您預期的相同。
我們不認為網路釣魚能夠在短時間內被解決,但當我們發現有新網絡釣魚廣告時,我們也將會繼續為您提供最新消息。 在此同時,我們會繼續致力於 DKIM 的部署。
我們也鼓勵您繼續提醒周遭的朋友並且時時保持警惕,以避免成為下一個受害者。
Tagged in phishingspoofing
