【聽過「釣魚即服務」嗎】駭客成熟分工瞄準企業資安,工具訂閱制已成最新攻擊模式
網路攻擊的型態各式各樣,即便是最傳統的「釣魚攻擊」,至今也產生了十分驚人的進化。
過去那些明顯的破綻,例如語法錯誤、拼寫錯誤,或者假冒寄件者身分的電子郵件,還有其他顯而易見的網路釣魚攻擊特徵,比方說欠缺專業的網站設計、錯誤的網頁連結等,早已都被駭客順利克服。
如今,網路釣魚攻擊手法既「精緻」又「得體」,攻擊者所發出的釣魚訊息,往往就跟公司主管、同事,甚至是金融單位所寄送的郵件如出一轍,令人難以分辨真假。
資安攻擊開始分工,新模式悄悄崛起
許多人總是認為,駭客喜歡一個人獨力犯案,隨機挑選目標發動攻擊,然而現代網路犯罪分子的運作模式,卻更像是分工成熟的大型企業,透過提供現成的「網路釣魚套件」,將入侵操作與攻擊工具,直接授權給特殊的合作夥伴。
企業 IT 管理軟體 ManageEngine 英國技術主管 Vimal Raj 指出,在充滿惡意攻擊者的暗網中,一種被稱為「釣魚即服務(PhaaS)」的商業模式,正在檯面下悄悄崛起。
釣魚即服務的整體運作方式,其實就跟消費者熟悉的軟體訂閱服務沒有太大差異;想要發動釣魚攻擊的有心份子,只要向特定對象支付月費,就可以獲得許多現成的駭客工具,例如偽造的登入頁面、釣魚郵件範本,以及不容易被主機商下架的網頁託管服務。
Vimal Raj 說,對於那些不懂得如何製作釣魚郵件,或者缺乏架設偽造登入頁面相關技術的犯罪分子而言,由駭客所開展的釣魚即服務營運模式,能夠為有心人士節省許多精力和時間。
此外,擁有較高技術力的釣魚即服務提供者,還會採用各種巧妙手法以規避惡意工具的偵測,例如使用精心設計的連結,將受害者導向看似合法,但是卻已經遭到駭客入侵的網站及平台。
提供現成工具,代操攻擊活動
Vimal Raj 分析,暗網中流竄的釣魚即服務業者,通常提供會兩種購買模式,第一種是讓顧客購買現成的「網路釣魚套件」。
在網路釣魚套件中,駭客又會將其分出「簡易」與「進階」兩種版本,後者所擁有的攻擊工具,原則上會納入地理位置封鎖與反偵測功能,避開搜尋引擎及反網路釣魚機器人的阻擋。
至於另一種營運模式,就是跟 Netflix、Amazon Prime 採取的訂閱制類似,釣魚即服務提供者在收取月費後,將為「客戶」處理所有網路釣魚相關活動,或者幫忙操作其中大部分的攻擊。
駭客未必聰明,但他們進化夠快
Vimal Raj 提及,一套被稱為「Frappo」的應用程式,就是釣魚即服務產業的最佳實踐案例。
簡單來說,Frappo 能夠協助網路犯罪分子,主動建立並操作名為「phishlets」的進階釣魚網站頁面,藉此收集受害者的各種隱私資訊,比方說 IP 位址、登入憑證及使用者代理(user-agents)等。
Vimal Raj 表示,Frappo 具有一定的匿名性,有心份子如果想操作、利用該工具,甚至不需要註冊帳號,留下任何必要且會被追蹤的資料。
Vimal Raj 強調,現成網路釣魚套件之所以危險,並不只是由於它們容易取得,而是工具本身會不斷進化,持續調整攻擊手法以規避偵測。換句話說,實際的攻擊發動者雖然未必聰明絕頂,但他們的手腳確實比防禦方來得更快。
在這種情況下,Vimal Raj 認為企業的資安防禦必須與時俱進,並採取以可視性、自動化及信任最小化為核心,多層次且主動的安全策略。
唯有持續監控,才能揭露潛在攻擊
更進一步來說,企業應該抱持著「資安事件隨時可能發生」的警覺心態,確保系統時刻都能夠對使用者、裝置的請求進行驗證,並整合身分識別和存取控制機制,限制特定人員在何時、何地,允許執行哪些操作。
Vimal Raj 直言,如此一來,即使企業某一天真正遭受資安攻擊,其所能夠造成的影響,勢必也可以降到最低。
另一方面,根據 MITRE 框架,企業針對資訊環境持續進行監控,事實上擁有絕對的必要性。
Vimal Raj 強調,因為「監控」是發現資安攻擊,並且呈現攻擊樣貌的唯一方法,企業應該要隨時監控應用程式日誌、網路流量及內部檔案的建立狀況。
目前業界已經有許多軟體工具,能夠為企業所監控、記錄的數據,提供強大的分析功能,藉此偵測試圖實踐的網路釣魚攻擊,或者其他嘗試取得存取權限的駭客技術與相關手段。
導入多元驗證,做好 SOAR 應變
對於防範網路釣魚攻擊,Vimal Raj 認為企業應該積極採取行動以保護員工,因為其中許多人可能根本沒有意識,自己正處在資安風險之中。
舉例來說,企業可以導入具備防釣魚功能的多元驗證(MFA)方案,包括生物辨識、硬體安全金鑰及通行金鑰等,同時不會干擾員工本來的使用體驗。
其中,防釣魚多重驗證的設計,對於駭客來說已經十分難以破解,可以有效抵禦裝置遭到入侵的風險,若能再搭配使用者與實體行為特徵分析(UEBA),建立使用者檔案並偵測異常行為,還能夠進一步強化防護效果。
此外,透過建立安全協調、自動化與回應(SOAR)功能,以自動執行工作流程設定檔的方式,將資安相關工單指派給企業 IT 安全管理員,亦可迅速處理網路釣魚攻擊。
積極尋找盲點,創造理念認同
Vimal Raj 提醒,時刻檢視端點安全並試圖找出「盲點」,其實對於資安防禦的升級相當有幫助;企業應該建立一套機制,迅速部署修補程式,偵測並化解如勒索軟體等威脅,再透過多重身分驗證實施最小權限原則,保護存在於所有地方的敏感資料。
雖然網路釣魚的手法、工具不斷進化,但是 Vimal Raj 強調,重點仍在於企業應該把網路安全防禦,視為一項持續運作的任務,而非只是每隔一段時間的例行性檢查。
換句話說,企業必須確保全公司上下,皆能認同資安防禦的根本理念,並讓安全成為每位員工的職責,而不僅僅是 IT 團隊的責任。
為了建立具備網路安全意識的文化,Vimal Raj 建議,企業要學會讓各個團隊互相分享威脅情報,並且透過紅隊演習以模擬攻擊,積極向員工說明資訊安全的重要性。
當然,定期舉辦培訓課程、教導員工辨識釣魚攻擊,同時使用高強度密碼等常見措施,也是企業資安朝正確方向所邁出的重要一步。
建立具備安全意識的企業文化
Vimal Raj 強調,唯有讓員工了解釣魚攻擊是如何演變並日益精進,例如從運用 AI 的釣魚郵件,直到深度偽造技術,以及自我演化的惡意軟體等,才能令他們明白,網路釣魚攻擊的威脅性究竟有多高。
最後 Vimal Raj 總結,想要保護企業免於釣魚即服務的威脅,關鍵在於不斷思考如何保持防禦者的領先優勢,但這不僅僅是防火牆、防毒工具和端點安全的問題,更要去建立具備安全意識的企業文化,提前適應並預判攻擊的發生。
【推薦閱讀】
◆ 【資安事件真正破口:身分】攻擊者拿著合法帳號在 29 分鐘內攻陷系統,決策者如何應對?
◆ 【Google 雲端威脅展望報告】攻擊空窗期縮至數天,企業如何轉向「自動化調度」確保營運韌性?
◆ 【超越釣魚信成最大破口】數位廣告將取代 Email 成為最大攻擊來源,企業該怎麼防禦?
*本文開放合作夥伴轉載,參考資料:TechRadar、Resecurity,首圖來源:PxHere
(責任編輯:鄒家彥)