2022 年遭冒名用於釣魚攻擊的最大品牌為 LinkedIn

資安廠商 Check Point 日前公布 2022 年第 2 季 釣魚攻擊 統計，在常被駭侵者冒名用於 釣魚攻擊 的全球各大品牌中，求職社群網站 LinkedIn 仍然如先前的統計一樣高居首位，且冒名比例遠高於其他品牌。

所謂的「網路釣魚」是指駭客試圖利用連網裝置來從事詐騙的一種攻擊手法。駭客可以藉由手動方式發動攻擊，或利用某種工具將攻擊流程自動化。當然也可以兩者互相搭配，一開始先用腳本工具來突破防線，之後再用手動方式完成攻擊。

網路 釣魚攻擊 嘗試透過電子郵件、網站、簡訊或其他形式的電子通訊竊取敏感性資訊。他們嘗試看起來像來自合法公司或個人的官方通訊。網路犯罪者通常會嘗試竊取使用者名稱、密碼、信用卡詳細資料、銀行帳戶資訊或其他認證。他們會將遭竊的資訊用於惡意用途，例如駭客入侵、身分識別竊取，或直接從銀行帳戶和信用卡竊取金錢。這些資訊也可以在網路犯罪地區市場中銷售。社交工程攻擊的設計目的是利用使用者在決策制定時可能的失效。請注意，絕對不要透過電子郵件、未知網站或透過電話提供敏感性或個人資訊。請記住，網路釣魚電子郵件的設計是要顯示為合法。

雖然網路釣魚的形態有很多種，不過最普遍也最容易認得的還是網路釣魚電子郵件。這類攻擊越來越精密，並且還發展出所謂的魚叉式網路釣魚 (spear phishing)、網路捕鯨 (whaling)、雷射導引攻擊 (laser-guided attack) 等等。此外，網路釣魚攻擊也從電子郵件擴展到其他通訊平台，如：文字簡訊及社群媒體

⚡ 線上網路 釣魚攻擊

駭客喜歡攻擊我們的線上世界，他們會架設假冒的網站或登入網頁來蒐集機敏資訊。除了蒐集信用卡卡號、銀行帳號、社群媒體登入憑證之外，駭客還會攻擊您好友或同事的社群媒體頻道。當駭客在駭入了您的帳號之後，他們就會透過私訊來發送網路釣魚連結給您的追蹤者、好友或同事。過去十年，由於社群媒體越來越普及，這項手法也越來越常見。

釣魚郵件攻擊的手法中，有些駭客會宣稱對方收到語音訊息，進而讓收信人上當，落入他們的圈套。最近有一起攻擊行動就是如此──駭客針對美國大型企業發動上述攻擊，目的是要竊取使用者的 Microsoft 365 帳號。比較值得留意的部分，是攻擊者讓收信者誤以為信件來自公司的手法，他們在寄件人的名稱裡使用受害組織的網域，而可能讓收信人不疑有他，依照指示開啟附件檔案。

Check Point 的報告指出，和上一季的數字相比，雖然 LinkedIn 的冒名釣魚比例自 52% 下降到 45%，但仍然高居所有常遭冒名品牌的第一名。

其他在這次冒名榜上的大品牌，及其遭冒名的比例，分別為 Microsoft（13%）、DHL（12%）、Amazon（9%）、Apple（3%）、Adidas（2%）、Google（1%）、Netflix（1%）、Adobe（1%）、HSBC（1%）。

報告說，駭侵者最常冒名 LinkedIn 寄送給用戶的釣魚郵件，通常是假冒「你的檔案本周已有 100 人瀏覽」，或是「你有一封新的未讀訊息」之類的通知信件；而寄件者的 email address 通常看起來會很像 LinkedIn 官方的支援服務或資安團隊所發。

⚡ 適用於企業軟體的解決方案

⭐ Microsoft Edge 和 Windows Defender 應用程式防護使用 Microsoft 領先業界的 Hyper-V 虛擬化技術，提供防範目標攻擊威脅日益增加的防護。 如果流覽的網站被視為不受信任，Hyper-V 容器會將該裝置與網路的其餘部分隔離，進而防止存取您的企業資料。

⭐ Microsoft Exchange Online 保護 (EOP) 提供企業級的可靠性和防範垃圾郵件和惡意程式碼的保護，同時維護電子郵件在安裝期間和之後的存取。 使用各種層級的篩選，EOP 可以提供不同的垃圾郵件篩選控制項，例如大宗郵件控制與國際垃圾郵件，進一步增強您的保護服務。

⭐ 使用適用於 Office 365 的 Microsoft Defender來協助保護您的電子郵件、檔案和線上儲存體，以防止惡意程式碼。 它提供 Microsoft Teams、Word、Excel、PowerPoint、Visio、SharePoint Online 和 商務用 OneDrive 的整體保護。 藉由防範不安全的附件並擴充對惡意連結的保護，可補充 Exchange Online Protection 的安全性功能，以提供更好的零時差保護。