Green Radar發佈電子郵件威脅指數(Green Radar Email Threat Index,GRETI)顯示,2023年的電子郵件威脅風險顯著上升,由2022年的66.5分上升至2023年的69.7分,顯出網絡攻擊風險的持續增長。Green Radar強調,網絡釣魚(Phishing)和商業電郵詐騙(BEC)仍然是主要威脅,企業和組織需保持高度警惕。
AI技術助長網絡威脅
報告顯示,網絡釣魚和BEC攻擊繼續保持「高」風險級別。2023年,多宗針對政府部門的網絡攻擊事件造成嚴重資料洩露和業務中斷。香港電腦保安事故協調中心(HKCERT)報告顯示,2023年處理的保安事故高達7,752宗,其中網絡釣魚事件達到3,752宗,佔總數的48%,同比上升27%,創下五年來新高。
Green Radar預計,2024年會有更多利用人工智能(AI)策劃的網絡攻擊。AI技術不僅降低黑客的技術門檻,還幫助他們生成更具欺騙性的惡意軟件。新的網絡釣魚手法如Deepfake技術,可以模仿他人身份,增加詐騙成功率。
Quishing攻擊手法變化
Quishing(利用QR Code進行釣魚攻擊)的手法也在不斷演變。黑客通過更改QR Code的背景顏色和比例,使得電郵安全閘道更難識別圖像為QR Code。這種變化顯示出黑客為提高網絡釣魚成功率所做的深入研究和不斷創新。
Green Radar亦發現,黑客在針對性攻擊中,常利用假冒受信任的品牌或機構來吸引收件人。例如,假冒香港終審法院的電郵誘導受害者點擊惡意鏈接,進一步導致個人信息泄露或財務損失。以全球計算,DHL、WeTransfer、Meta、Spotify和Amazon成為假冒品牌排行榜前五名;以香港計算的話,順豐速遞、國家稅務總局、香港郵政、Spotify、LV為假冒品牌排行榜前五名。黑客利用這些知名品牌的信譽,通過偽造廣告和促銷活動等手段,誘使受害者提供個人資訊或進行金錢交易。
新型網絡釣魚手法:克隆網絡釣魚
克隆網絡釣魚(Clone Phishing)是2024年的新型威脅。這種攻擊模仿真實的電郵,再假冒原始寄件者重新發送,但附件已被惡意軟件替換,外觀卻與原始文件相似,難以發現。這類攻擊方式不僅僅限於電郵回覆,而是通過複製合法電郵並發送給目標收件人,常常躲避企業的網絡安全措施,導致數據竊取和勒索軟件攻擊。
Green Radar服務運營執行副總裁李祟基表示:「網絡釣魚攻擊通過不同的媒介進行,其中最常見的是電郵。攻擊目的是竊取憑證以接管帳戶,可能導致企業敏感資料外泄和詐欺轉帳等嚴重後果。由於攻擊利用人性弱點,必須防止員工成爲潛在漏洞。」李祟基強調,員工教育和網絡釣魚意識培訓固然重要,但隨著遠距工作和大量郵件處理的普及,辨識複雜攻擊變得更加困難。因此,企業需要部署合適的網絡釣魚防護解決方案,保護員工和企業免受威脅。
Source:ezone.hk、Green Radar