捕鯨攻擊是網路犯罪者偽裝成某組織的高階人員並直接針對其他高階或重要人員進行攻擊的一種手法,其目的是竊取金錢、敏感資訊或獲得電腦系統的存取權限並用於犯罪目的。捕鯨攻擊也稱為執行長詐騙,與網路釣魚類似並會使用電子郵件和網站詐騙等手法來誘騙目標執行特定操作,例如:洩露敏感資料或轉移資金。
網路釣魚詐騙以非特定人士為對象,魚叉式網路釣魚則以特定人士為的對象,而捕鯨活動則不僅以特定人士為對象,其內容中也會聲稱自己是特定組織中特定高階人士或影響力人士,例如:執行長或財務經理,因此被視為「大魚」或「鯨魚」,並強化了其中的社會工程手法,因為員工不容易拒絕重要人士的請求。
此類攻擊非常實際有效且不斷在增加。2016 年,Snapchat 的薪資部門收到了一封看似來自執行長的捕鯨電子郵件並要求人員提供員工的薪資資訊。玩具巨頭美泰兒(Mattel)也曾為捕鯨攻擊的受害者,其高階財務主管收到了假冒新任執行長的詐騙電子郵件並被要求進行轉帳,差點造成公司損失 300 萬美元。
捕鯨攻擊的原理-以及如何保護自己
如前所述,捕鯨與魚叉式網路釣魚的不同之處在於:詐騙性內容貌似來自高階人員。網路犯罪者會進行大量研究並利用社群媒體等公開資源來針對特定人士特製其攻擊手法,讓攻擊內容變得更加可信。
常見的手法包括貌似來自高階經理的電子郵件,並且攻擊者可能利用其在網路上收集到的內容,例如:攻擊者在社群媒體上瀏覽公司聖誕晚會中的一些照片並看到攻擊對象「約翰」時,訊息內容可能會寫:「嗨,約翰,我是史蒂夫,上週四你很會喝喔!回家有沒有好好把紅襯衫上的啤酒洗掉啊?」
此外,寄件者的電子郵件地址通常會看起來像是來自可信來源,甚至可能包含公司 logo 或能導向假冒網站的連接。由於鯨魚在組織內受到的信任和擁有的權限童常很高,網路犯罪者願意花費額外的時間和努力讓攻擊內容的可信度更高。
抵禦捕鯨攻擊首先要對組織內的重要人員進行教育,確保其隨時保持警惕,降低自身成為攻擊目標的可能性。鼓勵重要人員在收到通知時保持適當的懷疑,特別是在重要資訊或財務交易等方面上,並應該經常三思並判斷是否本來就預期收到電子郵件、附件或連結?請求的內容是否有任何異常之處?
重要人員也應該接受訓練,以盡早發現攻擊的跡象,例如詐騙(假冒)電子郵件地址和姓名。將遊標懸停在電子郵件中的姓名上即可顯示其完整地址,仔細觀察便可判斷其是否與公司名稱和格式完全相同。IT 部門也應該進行模擬捕鯨攻擊演習,以測試重要人員的應對能力。
高階管理人員也應該意識到在 Facebook、Twitter 和 LinkedIn 等社群媒體網站上發布和分享資訊時要特別小心。生日、愛好、假期、職位、晉升和關係等詳細資訊都可以被網路犯罪者用來策劃更縝密的攻擊。
減少詐騙電子郵件造成危險的絕佳方法是要求 IT 部門自動標記來自外部網路的電子郵件以進行檢查。捕鯨活動通常需要網路犯罪者成功欺騙重要人員並讓其相信訊息內容來自組織內部,例如:財務經理要求匯款給某帳戶。將來自外部的電子郵件進行標記能輕鬆發現看似真實的假電子郵件,連未經訓練的人員也能輕易發現。
部署具有 URL 篩選和連結驗證等服務的專業防網路釣魚軟體也是建議方式,並也可以考慮為發布敏感資訊或處理大量資金等作業程序添加多一層的驗證步驟。例如,在處理重大或敏感任務時,採取面對面會議或電話可能才是最佳方式,而應該避免簡單透過電子方式進行。
此外,在防範網路詐騙方面,兩對眼睛勝過一對眼睛。因此,也可考慮更改組織的程序,讓支付款項時需由兩個人進行簽署,而非單一人員就能進行。如此一來不僅能避免單一人員的盲點,還能消除人員的憂慮,避免因拒絕請求而單獨受到來自高階人員的懲處,畢竟恐懼經常是攻擊者所運用的社會工程手法。
