撰文:James Forbes-May Barracuda Networks 亞太區副總裁
商業電郵詐騙是一種複雜的網絡攻擊,混合多種攻擊模式,例如社交工程、魚叉式釣魚等,甚至透過入侵取得企業內部的電子郵件帳號控制權,透過現存的電郵記錄假扮真實用戶及企業,發送內藏有害連結的偽冒電郵,以假亂真地誘騙企業內部員工及其他合作夥伴。
近年採用機器學習模型技術的生成式 AI 興起,黑客更能利用預先訓練好的大型語言模型(LLM)快速地抽取有用的資訊,從而生成更逼真的釣魚電郵內容。過去 12 個月,Barracuda 團隊偵測到的網絡攻擊之中,商業電郵詐騙佔最多,達 36%。商業電郵詐騙往往會引伸出身分盜用及惡意軟件感染,從而進行勒索軟件攻擊及數據洩漏,整個網絡攻擊環環緊扣。
事實上,現時的商業電郵詐騙能以「釣魚攻擊服務」進行,透過生成式 AI 的輔助來預先準備好電郵範本,製作更具針對性、內容仔細及款式更多的電郵內容,再透過發送電郵的託管服務,以自動化方式進行釣魚攻擊,例如 Bulletprooflink、EvilProxy 等。
黑客亦有機會利用從 2021 年版 Exchange 漏洞所洩漏的電郵,利用相類似或未有設定好 DMARC 的電郵域名,看準受害人信任早前的電郵對話記錄而放下戒心,進行「對話騎劫」發動魚叉式釣魚攻擊。從 2022 年的研究顯示,有超過一半人點擊釣魚電郵中的內容,原因是電郵看似是企業內部的高層所發出。在 2020 年相同的研究中,只有 41% 的人「中招」,可見利用洩漏的電郵製作釣魚電郵成效會隨著高效的生成式 AI 而變得愈來愈難辨真偽。
漸趨簡單、自動化的攻擊亦意味著攻擊頻率愈來愈高,電郵內容將愈來愈仔細,增加企業網絡保安系統的壓力和挑戰。根據外國的調查顯示,83% 受訪機構表示曾發生電郵數據外洩,當中有 24% 的電郵數據外洩事故是由於員工錯誤分享數據所致。
要及早阻截商業電郵詐騙,企業應定期為員工提供安全意識訓練,防範包括電郵、短訊甚至電話的釣魚詐騙,以及採用配備 AI 功能的防釣魚及假冒電郵系統。現時先進的網絡安全系統已支援如 Microsoft 365 的雲端環境,以達致全方位保護。企業亦應做好進一步的預防措施,採用先進的雲端至雲端的備份方式,以及定期為雲端及企業內部系統的資料進行備份,以及制訂完善的數據復原策略,防止企業日常運作因勒索軟件攻擊而受影響。