網絡釣魚偽冒公司表現評估攻擊企業員工

為了盜取企業的帳號資料,網絡罪犯可謂無所不用其極去誘騙員工進入釣魚網站,之前出現過 SharePoint 邀請和語音短訊作誘餌之後,最近發現有騙徒假冒公司內部的表現評估,引誘員工登入自己的公司帳號。

兩大誘因令員工更易墮入陷阱
偽裝作表現評估對目標攻擊發動攻擊,有兩個原因令收到電郵的員工更容易掉入陷阱。首先,正常公司內部的表現評估都屬於強制性,員工並不能單方面拒絕 (如果還想在公司裡工作的話),導致當面對偽裝的釣魚電郵時,如果無法立即察覺電郵屬偽裝,就很可能掉入陷阱。第二,表現評估通常都與薪酬調整有關,在員工害怕失去加薪的機會下,即使有一點懷疑仍可能選擇信以為真。

而釣魚電郵會假借 HR 的名義發出,內容是公司的表現評估和一條自稱前去填寫評估表格的連結。

主要瞄準新入職員工
如果員工依照釣魚電郵的指示,就會到連結的網站登入,然後等待額外資料的電郵,如果是新入職的員工,所有步驟看起來都十分正常,只有網址因為與公司無關而引起嫌疑。如果員工從連結看到的「HR Portal」登入網頁,看起來並不專業,反而十分簡單,以明亮的單色或漸變色作為背景,只有資料輸入的欄目在內,不過為了增加可信性,騙徒加入了確認接受私隱條款 (沒有提供相關條款) 的選項。

受害者被要求輸入他們的用戶名稱、密碼和電郵地址,在某些情況,騙徒會要求輸入他們的工作地址,當按下 Sign In 或 Appraisal 鍵時,其實是把資料傳到網絡罪犯手上,而所謂的表現評估就突然結束,員工可能會等待訛稱的電郵,過一段時間後懷疑有地方出錯而主動聯絡真正的 HR 部門,繼而通知 IT 保案,否則公司可能長時間不知道公司受到攻擊。

企業帳號被盜的風險
員工的公司帳號被盜,後果因情況而異,也要考慮受影響的公司部置了甚麼技術。當騙徒取得員工的帳號資料,他們可以利用受害人的名義對其他公司、合作夥伴或客戶發放釣魚電郵。攻擊者也獲得存取公司內部資料的權限,提高入侵公司網絡的機會,繼而進行其他違法的行為,而被盜的內部文件也可能被用作勒索或售予競爭對手。

防範網絡釣魚攻擊
網絡釣魚攻擊的漏洞在「人」的因素,所以要確保員工熟識公司網絡保安的程序。