【風險上升】本地詐騙電郵假冒終審法院 Green Radar:攻擊手法進化更頻密
網絡釣魚(Phishing)及商業電郵詐騙(BEC)攻擊無日無之,專注電郵安全的本地網絡安全公司Green Radar,發布 2023 電子郵件威脅指數(Green Radar Email Threat Index,下稱 GRETI),年度指數比去年高,反映電郵威脅風險持續上升。報告又揭露黑客頻密的進化手法,包括假冒香港終審法院、將二維碼(QR Code)「搓圓撳扁」等,藉此提高詐騙成功率。
根據 2023 年本地數據分析,GRETI 年度指數為 69.7 分,比去年 66.5 分略為上升,本年度的網絡釣魚(Phishing)及商業電郵詐騙(BEC)攻擊繼續處於「高」風險級別水平,企業及機構應保持警惕。
假冒認可機構發送電郵 引起收件者緊張情緒
Green Radar 服務運營執行副總裁李崇基(Francis)直言:「2023 係比較危險嘅一年。」2023 年是生成式 AI 大爆發的一年,Green Radar 發現惡意電郵比以往多,黑客的攻擊手法不但持續進化,而且進化得更頻密。Francis 指,網絡釣魚攻擊可以透過不同的媒介進行,其中最常見的是電郵,而攻擊目的是竊取憑證以接管帳戶,可能導致企業敏感資料外洩和詐欺轉帳等嚴重後果。
報告指出,黑客設計具針對性的攻擊時,會利用誘餌吸引收件人的注意,例如假冒受信任和認可的品牌或機構。以 Green Radar SOC 所攔截到假冒香港終審法院的例子而言,不但本土化程度高,一般市民大衆收到相關電郵時,亦不免衍生緊張、恐慌的情緒,因此會來不及識別當中的真偽。就此例子來說,黑客嘗試引導收件人點擊看似正確的文件名稱連接,並導向至其創建的假網站,務求令網絡釣魚取得成功。
此外,對於近年流行利用二維碼進行網絡釣魚(Quishing),黑客亦試圖「改進」其攻擊手法,Francis 指:「可以話係玩到出神入化。」例如黑客會更改 QR Code 圖片的背景顔色及比例,將之「搓圓撳扁」,取代以往使用完整 QR Code 的釣魚電郵,使電郵安全閘道更難識別;黑客又會將 QR Code 放入 PDF 檔、或已設置密碼保護的文件檔,規避電郵檢查,增加網絡釣魚命中率。
對所有電郵要保持「零信任警惕」
零日攻擊日益增多,放眼今年,Francis 建議大眾對電郵應要具備「零信任警惕」,時時抱持不信任態度,防範釣魚電郵。Green Radar 預計,今年會有更多利用 AI 策劃網絡攻擊的情況出現,源於 AI 技術的應用可以幫助犯罪分子生成惡意軟件,同時降低了他們的技術門檻。
在新一代的釣魚攻擊中,黑客不僅使用傳統的電郵方式,更運用 AI Deepfake 技術冒充他人身份,以贏得受害者的信任,從而詐騙金錢。因此網絡釣魚仍然是最流行的電郵威脅類型,並且在本年度繼續保持上升趨勢。企業更需要部署相應的網絡釣魚防護解決方案,以保護員工和企業免受威脅。
如欲觀看 GRETI 完整報告,可按此下載。
唔想成為下一個騙案受害人?
