大部份網上服務都有內置保安系統,當偵測到你的帳號有不正常活動時發出警告,例如:服務發送通知有人嘗試重設連接帳號的電話號碼和電郵地址,又或者是密碼,當這些訊息逐漸普及,網絡犯罪份子也「善用」這個機制攻擊商用用戶。
假通知的例子
如果公共網上服務,攻擊者通常會盡最大努力去製作與真實訊息完全一樣的陷阱,然而,如果攻擊者的目標存取內部系統,他們經常用到他們的聯想力,因為他們可能不知道電郵的模樣。
圖中所有的訊息看起來都十分荒謬,由錯的語法至到邏輯,看起來就是連結新電話號碼和發送重設密碼編碼,即使電郵地址加入「support」也不會增加說服力,更別說支援郵箱為何會使用外國的域名?!攻擊者其實是希望受害者害怕,急於保護自己的帳號而點擊「DON’T SEND CODE」按鍵,如果點擊,用戶便會被重新導引至假的帳號登入網頁,然後當然是盜取他們的密碼,而騎劫到的電郵帳號可以用作BEC類型的攻擊,又或者透過社交工程發動更深入攻擊的資料來源。
如何向員工說明
為了把員工受騙的機會降到最低,應該向他們說明:
- 永遠不要點擊自動保安通知的連結,無論看起來真與假。
- 在接收到通知,檢查保安設定和連結了的詳情,以上動作從瀏覽器手動進入。
- 錯漏百出的通知應該把它無視
- 如果通知看起來像真,通知保安或相關部門,可能是網絡攻擊的訊號。
如何保護公司員工網絡釣魚
一般而言,最好是分隔釣魚電郵和員工的收件框,其他不想收到的電郵應該在gateway層面被攔截,想瞭解更多,可以瀏覽Kapsersky Secure Mail Gateway網頁。
資料來源:Kaspersky Blog