網絡釣魚花樣多多 嚴選10 款騙局您又見過幾多個？

橋唔怕舊 最緊要受

超離譜！駭客利用疫症入侵網絡已經不是新聞，但您也許沒有想像過，數字升幅可以如此誇張。根據今年上半年的香港保安觀察報告指出，網絡釣魚攻擊按年上升51%，其中疫情中的網絡攻擊主要是 #網絡釣魚，例如以 #新冠肺炎 為主題的域名及電郵，分別透過海外渠道發表虛假疾病管理預防控制中心網站，或在本地渠道散播虛假 #遙距營商計畫 網站。

其實，這些騙子一直都在測試你，以下我們綜合了10款網絡騙子最常用的 #行騙手法，有沒有覺得熟口熟面？

冒充 HR 發出員工新守則

駭客會冒充據稱由人力資源部門發出一封概述了公司的新行為守則的電郵。隨著全球對工作場所多樣性和減少騷擾越感興趣，許多公司不斷修訂其僱用的守則。大多數員工都知道他們應該閱讀新守則，並且人力資源團隊也必須追趕他們要這樣做，因此點擊郵件變得理所當然而且應盡早完成。這樣，您便中招了。

訛稱延遲年終報稅摘要

駭客假裝通知員工他們的稅務文件不會按預期到達。 無論您的國家稱它為W-2，P60，IRP 5還是付款摘要，它都是那些“必不可少的弊端”之一，因此員工肯定會因為想要找出延遲時間和原因而點擊郵件，又中招了。

預定的服務器維護

真是讓我們受寵若驚！正常來講，大多數人都會傾向無視此類 IT 提醒，因為他們覺得與自已無關，可能大家更關心網絡夠不夠穩定。不過原來大家其實是會在乎 IT 訊息，真是令人又關心又擔心。

分配給您的任務

在此信息中，網絡釣魚威脅用戶可以選擇自己公司使用的項目計劃系統（例如JIRA，Asana），以使電子郵件不會顯得虛假。 儘管這使它成為半針對性的網絡釣魚，但您應該假設公司中使用的商業工具廣為人知，並且容易被騙子弄清楚，甚至可以自動發現。

新的電子郵件系統測試

只不過點擊一下，這種好人誰不想當？......中招？就是這麼簡單。

假期政策更新

由於冠狀病毒的封鎖與隔離政策，如今預訂和休假是一個棘手的問題。 許多公司正在相應地調整其休假政策 - 誰想冒錯過準時休假的風險？心急想放假就是要付出點代價......

汽車亮燈

雖然這種情況較少出現在香港。

外國某些商業企業會設有自己的停車場，如果停車場內有人忘記關燈時保安都會發電郵通知車主，因此，當員工收到有關電郵時都會防不勝防點擊查看。不過.....在香港大家可能對某某明星的出醜照更為關心，收到有關報道肯定更加忍不住點擊查看。

快遞服務遞送失敗

這是騙子使用多年的技巧。 如今，由于冠狀病毒，導致家庭的送貨量激增，令人更容易相信。 實際上，您可能會期望自己現在就收貨 - 在大多數情況下，是由供應商決定使用哪個快遞公司，因此您可能不知道是誰來送貨。

加密文檔

這看來是一個從人力資源團隊發出的“加密文檔”，從而以一個合理的理由讓你們在工作時查看它。 網絡釣魚騙子廣泛使用此技巧，以此來說服您在通常不需要的地方輸入密碼，或者調整電腦上的安全設置 - 表面上是為了提高安全性，但實際上是為了降低安全性。

社交媒體消息

模擬 #LinkedIn、#Facebook、#Instagram 通知說：“您有從Mary收到的未讀消息”。 社交媒體似乎正在迅速普及，考慮到有多少人因為冠狀病毒的衰退而失業或縮短工作時數。 由於擔心錯過朋友訊息或工作機會，人們很容易點擊，騙子亦很樂意利用這一點。

乙之砒霜 甲之熊掌

先發制人，比他們早一步地測試自己會否墮入這些圈套。

尋找最好的最壞的

坊間其實有不少網絡釣魚測試模板可供選擇。網絡釣魚威脅的團隊問自己：“哪個網絡釣魚模板可以提供最好的，或更準確的說，是最差的結果？”商業電子郵件用戶是否更容易掉入威迫抑或利誘？ 是威脅還是免費優惠？ 是明確的指示或是有用的建議嗎？ 是“您必須”還是“您可能喜歡”？答案涵蓋了廣泛的網絡釣魚主題範圍，但它們有一個共同點：沒有一個是威脅。

該怎麼辦？

點擊任個鏈結或文件之前請深思。 即使消息看上去是無害的，也請您花時間檢查，是否還有明顯的欺詐特徵？ 例如：您懷疑發件人不會犯拼寫的錯誤 ， 貴公司並不會用的術語，貴公司從未使用的軟件工具，以及諸如已明確警告您不要更改安全設置之類的行為。

如果不確定，請與發件人聯繫。 但是，千萬不要通過回覆電子郵件來檢查其是否真實 — 您會以任何一種方式得到 “是” 的答案，因為合法的發件人會說實話，但騙子會騙人。 使用可信賴的方法訪問公司目錄，以找到與您認為已被假冒同事的聯繫方法。

點擊之前，請仔細查看鏈結。 許多網絡釣魚電子郵件包含無錯誤的文本和圖像。 但是，騙子通常不得不依靠臨時的雲端服務器或被黑的網站來託管其仿冒網站，並且這種欺騙手段經常出現在他們希望您訪問的域名中。 不要被欺騙，因為服務器名稱看起來“超似” – 騙子經常使用拼寫錯誤，外觀相似的字符或添加的文本來註冊未命中的名稱，例如yourcompanny，yourc0mpany（字母O為零）或yourcompany-site。

向您的 IT 安全團隊報告可疑的電子郵件。 即使這感覺像是一項不費力的任務，也要養成每次都要做的習慣。 網絡釣魚騙子不會一次只向一個人發送電子郵件，因此，如果您是公司中第一個發現新騙局的人，則能使您的IT部門提前警告其他人。

順便說一句，如果您在安全團隊中，而您的員工卻沒有一種快捷簡便的方法來報告潛在的網絡安全問題，例如可疑的電話或不可靠的電子郵件，為什麼不設置一個易於記憶的記錄內部電子郵件地址，並對其進行監視？

這並不需要太多的鼓勵就可以讓整個團隊成為安全團隊的耳目。

畢竟，在網絡安全方面，對一個人的傷害亦是對所有人的傷害。

Sophos網路釣魚威脅模擬器 (Sophos Phish Threat)

透過IT人員發送模擬釣魚郵件攻擊行為的測試，從中找出安全意識薄弱的員工，並提供正確訓練，以減低他們在日常中墮入圈套的機會。

攻擊類型範本

Sophos Phish Threat提供常見攻擊類型範本。這些範本包括電子郵件、登錄頁面和訓練模組。傳送活動之前您可以自訂這些範本。

您可從以下範本類型中選擇：

網路釣魚：此選項模擬針對使用者進行網路釣魚攻擊。它會引誘您的使用者按一下電子郵件中的連結。

憑證收穫：此選項模擬獲取登入 ID 和密碼的攻擊。它會引誘您的使用者將憑證輸入假冒網站。不會收集任何密碼。

附件：此選項模擬在系統上部署惡意附件的攻擊。它會引誘您的使用者開啟電子郵件中的附件。

訓練：此選項允許您無需模擬攻擊，即可向使用者傳送防網路釣魚訓練。

透過以上的測試，Sophos Phish Threat會收集這些數據並制成報告。報告包括顯示使用者參與網路釣魚活動的程度，檢視在特定時間段註冊網路釣魚活動的所有使用者清單，或根據使用者如何回應活動篩選的清單，例如在模擬中被捕獲的使用者。您也可以檢視註冊訓練的所有使用者清單，或沒有完成訓練的使用者清單。登記免費試用版

直接把事情交托有經驗的人

專業IT支援團隊，為你挑選合適的攻擊類型範本，定期發出測試，從而測試公司員工的謹慎度。讓你可以專注在真正重要的業務上，我們能夠管理服務監視各項IT事情，照顧公司IT的需要，您可以輕鬆知道自己的業務已經做好。了解更多IT托管服務

原文資料及圖片來源：https://nakedsecurity.sophos.com/2020/09/04/phishing-tricks-the-top-ten-treacheries-of-2020/

延伸閱讀：

網絡釣魚攻擊(Phishing)是甚麼？如何成功防止網絡詐騙？

其他人還在收費？我們直接讓您免費使用網絡釣魚攻擊測試