作者:Barracuda 亞太區副總裁 James Forbes-May
社交工程攻擊成現時熱門黑客攻擊手法,黑客鎖定特定目標,透過電郵假冒機構及組織來騙取關鍵資料及資產,甚至造成金錢上的損失。這些攻擊在全球各地均造成一定程度的經濟損失,香港亦沒有例外。警方公布 2021 年第一季錄得 145 宗電郵騙案,佔整體騙案約六成,損失金額達 4.82 億元,平均每宗損失達 330 萬元,其中有上海汽車零件公司收到假冒美國供應商的電郵被騙,匯款共 980 萬美元至騙徒指定的香港銀行戶口。
Barracuda 報告早前分析了 1,200 萬封電郵攻擊,發現魚叉式網絡釣魚的社交工程攻擊數量,由 2020 年 6 月的 46% 上升至 2021 年 5 月的 56%,亦是社交工程攻擊中佔比最高。黑客透過現時流行的短網址服務,製作多重轉址來混淆最終的目標網址,以及在檔案分享服務的網站上放置惡意連結,藉此規避電郵保安系統的攔截,可見攻擊手法層出不窮。
除了網絡釣魚外,電郵詐騙亦是流行的社交工程攻擊,佔整體社交工程攻擊的 39%。黑客透過假扮不同的機構,向受害人傳統包括中奬通知、分享商業計畫、招聘、募捐等虛假電郵來進行詐騙,受害人損失總金額約數億美元,可見黑客會趁現時熱門話題,製作不同的詐騙郵件,讓受害人更容被騙,令黑客有機可乘。值得一提的是,去年 10 月至今年初期間,與新冠肺炎疫苗及治療相關的網絡釣魚升 26%,更有不法分子透過散播虛假新冠肺炎疫苗及治療相關的投資建議進行詐騙,涉及 39 間美國上巿公司,最終促使美國證券交易委員會暫停受影響公司的股票交易。
此外,商務電子郵件入侵(BEC)仍佔一定比重,佔整體社交工程攻擊的 10%。現時,黑客針對教育、醫療、商業及旅遊機構,透過假扮高層行政人員來發送電郵,要求電匯、購買禮品卡甚至捐款至假冒的慈善機構帳戶,造成的損失每次高達數百萬美元。商務電子郵件入侵最常見的特徵,就是要求收件人即日處理電郵內容委託的事宜,又或是利用受害人的善心,令他們以為是做了一件好事,從而令受害人放下戒心,導致損失。
企業及機構要避免遭受社交工程攻擊造成損失,應及早採用具備人工智能(AI)的電郵保安系統,以 AI 分析內部的普通電郵內容,從而辨識出不尋常的電郵,從源頭避免社交工程攻擊。另外,企業及機構亦要定期向員工提供相關培訓,包括進行模擬釣魚電郵演練,以協助他們了解及辨識最新的電子郵件威脅,並向相關部門報告有關攻擊。企業及機構亦應考慮重新審視內部的財務指引,清晰制訂財務上處理申請程序,確保免受詐騙損失。