網路安全解決方案廠商 Check Point Software Technologies 旗下威脅情報部門 Check Point Research 公布《2023 年第三季品牌網路釣魚報告》,羅列 2023 年第三季最常遭網路釣魚攻擊品牌。跨國零售巨頭沃爾瑪(Walmart)為最常遭冒充榜首(39%),其次為科技巨擘微軟(Microsoft,14%)、跨國金融服務商富國銀行(Wells Fargo)列第三(8%)。
全球第二大支付處理商萬事達卡(Mastercard)首次進入前十大,居第九。假冒亞馬遜(Amazon)的網路釣魚攻擊數量也居高不下,與秋季大型促銷活動──10 月第二週「Prime 會員大促銷」有密切關係。
Check Point Software 數據研究經理 Omer Dembinsky 表示,網路釣魚仍是最常見的攻擊手法,許多零售、科技和銀行業品牌都會遭假冒。AI 廣泛使用增加辨識合法和詐騙信件難度,不過並非無計可施。開啟知名公司信件時,必須保持警惕,且務必檢查寄件者的電子郵件地址和消息正確性,在安全網站交易,而非透過信件連結。若企業察覺品牌遭假冒,應透過經驗證的管道通知客戶,同時警告潛在威脅。
(Source:Check Point Research)
品牌網路釣魚攻擊,犯罪分子會試圖使用與真實網站相似的網域名稱、URL 及網頁設計,模仿知名品牌的官方網站。導向詐騙網頁的連結可透過電子郵件或簡訊發送給目標對象,並在瀏覽網頁時重新導向,也可能經詐騙應用程式觸發;詐騙網站通常會設計竊取用戶憑證、付款明細或其他個人資料的表單。
Check Point Research 也提供兩個釣魚信件案例。
冒充亞馬遜的詐騙信件以「您在 Amazon.com 的訂單」(下圖)為主旨,聲稱需收件人確認訂單的急迫性,要求收件者點擊惡意訂單連結:it\.support\.swift-ness.com(已停用),查看訂單狀態或修改訂單,信件也透過顯示訂單明細增加可信度。
(Source:Check Point Research,下同)
Check Point 8 月也發現冒充 LinkedIn 的網路釣魚信件,實際發信地址為「giacomini@napa\.fr」,但稱來自「LinkedIn」。主旨為「8 則新訊息尚待回覆」(如下圖),信件顯示 8 條新訊息來自同一位自稱業務經理的人。
詐騙訊息目的是誘騙收件人相信 LinkedIn 有未讀訊息,點擊惡意連結:online\.cornection1\.shop(下圖),導至偽造微軟登入頁面,企圖竊取使用者資料。
(首圖來源:Pixabay)
科技新報粉絲團
加入好友
訂閱免費電子報
