網絡釣魚仍然是最熱門誘騙用戶資料的手法,釣魚電郵又常假冒知名品牌讓用戶容易誤信為真、誤墮陷阱。網絡安全解決方案供應商 Check Point 旗下的威脅情報部門 Check Point Research 發布《 2022 年第二季品牌網絡釣魚報告》顯示,社交媒體 LinkedIn 在第二季繼續高踞榜首,成為最常被假冒的品牌,第二位為 Microsoft 。
根據報告,今年第二季網絡釣魚攻擊中最常假冒的品牌,以及佔全球所有網絡釣魚攻擊的比例:
- LinkedIn(45%)
- Microsoft(13%)
- DHL(12%)
- Amazon(9%)
- Apple(3%)
- Adidas(2%)
- Google(1%)
- Netflix(1%)
- Adobe(1%)
- 滙豐銀行(1%)
在報告中,LinkedIn 在全球假冒品牌作網絡釣魚攻擊的個案中,佔比較上季略有回落,從第一季的 52% 下降至第二季的 45%。但作為一個受大眾歡迎的社交媒體,用戶持續成為攻擊目標,情況仍然令人擔憂。
在被冒認的知名科技品牌中,Microsoft 的個案增長最令人關注,其個案佔所有相關網絡釣魚攻擊的 13%,與上一季度相比增加超過一倍。而上季排名第二的 DHL 微跌至第三位,佔比 12%。首次進入排行榜前十位的新品牌包括 Adidas 、 Adobe 和滙豐銀行,佔比目前為單位數。
報告強調,跟 Microsoft 相關的詐騙活動增加,對個人和機構均構成威脅。一旦掌握用戶的帳戶登入資料,黑客便能登入並使用該用戶的所有應用程式,包括 Teams 及 SharePoint ,還會入侵其 Outlook 電郵帳戶,帶來極大風險。報告舉例說明 Outlook 網絡釣魚電郵的伎倆,例如郵件以「[需採取行動] 最後一次提醒 – 立即驗證您的 OWA 帳戶」為題,誘騙用戶訪問虛假的 Outlook 網頁,並要求受害者輸入其登入憑證。
LinkedIn 網絡釣魚攻擊活動模仿專業社交媒體平台的溝通風格,發送題為「您本周在搜索結果中出現 8 次」或「您有一個新短訊」或「我希望透過 LinkedIn 與您開展業務」的惡意電郵。風格看似來自 LinkedIn,但使用的電郵地址與 LinkedIn 不同,用戶多加注意可避過陷阱。
DHL 航運公司被假冒的佔比在第二季為所有網絡釣魚攻擊的 12%。報告特別提及一種與貨品追蹤相關的網絡釣魚詐騙,主題為「收貨通知」,企圖引誘消費者點擊惡意連結。
品牌網絡釣魚攻擊不僅利用用戶對相熟品牌的信任,配上相似的 URL 來模仿品牌形象,還利用人的心理,例如擔心錯過折扣,逼使消費者在沒有先檢查電郵是否來自相關品牌的情況下匆忙點擊連結,可能導致無意中下載惡意軟件或洩露重要個人資料。
報告提醒,用戶謹慎留意便可發現虛假電郵的蛛絲馬跡,包括語法不當、拼寫錯誤或域名異常。如有任何疑問,請直接瀏覽該品牌的官方網站,而非點擊任何連結。