什麼是電話網路釣魚? | 防止電話網路釣魚攻擊

電話網路釣魚或語音網路釣魚是一種透過電話發生的網路釣魚攻擊。詳細瞭解什麼是電話網路釣魚攻擊、如何預防它們以及它們如何適應更大的社交工程背景。

學習目標

閱讀本文後,您將能夠:

  • 定義電話網路釣魚攻擊
  • 透過共同特徵識別電話網路釣魚攻擊
  • 瞭解防止電話網路釣魚的策略
  • 瞭解電話網路釣魚如何融入更廣泛的威脅環境

複製文章連結

什麼是電話網路釣魚攻擊?

電話網路釣魚是一種透過電話誘騙人們分享敏感性資訊的做法。電話網路釣魚受害者被引導相信他們正在與受信任的實體分享敏感性資訊,例如稅務機關、他們的雇主、他們使用的航空公司或他們認識的人。電話網路釣魚也稱為「語音網路釣魚」。

網路釣魚是透過偽裝成有信譽的一方來試圖竊取敏感性資訊的行為的總稱。網路釣魚有多種形式,包括電子郵件網路釣魚(有時僅稱為「網路釣魚」)、語音網路釣魚或電話網路釣魚、網路捕鯨和魚叉式網路釣魚

雖然電話網路釣魚攻擊更難偵測或監視,但重要的是要瞭解攻擊者經常試圖同時透過不同的媒介存取資訊。因此,電子郵件網路釣魚攻擊的顯著增加可能表明會出現語音網路釣魚嘗試。組織應該對員工進行此類事件的教育,因為警覺的員工是抵禦這些攻擊的最佳屏障。

電話網路釣魚和社交工程學有何關係?

電話網路釣魚是一種社交工程學形式。攻擊者說服他們的受害者做一些他們本不會做的事情,例如在不請自來的電話中分享信用卡詳細資料。攻擊者玩弄基本的人類情感,例如貪婪、恐懼或幫助他人的心態。攻擊者可以在緊急情況下假裝是朋友,並提示受害者轉賬。或者,他們可能會冒充雇主 IT 部門的成員,以獲得存取公司網路的使用者名稱和密碼。

電話網路釣魚如何運作?

電話網路釣魚攻擊可能採取多種形式,但它們通常涉及以下一些策略:

  • 意外元素:來電者可能聲稱自己是通常不會打電話的組織的一部分,例如稅務機關、企業或國家彩票。他們還可以聲稱是受害者熟悉的人,在不尋常的情況下打電話。
  • 緊迫感和恐懼感:來電者可能暗示或威脅如果不迅速採取某種動作將產生負面後果。這些後果可能包括懲罰——例如,如果不立即償還稅款,就有可能被逮捕;或者錯過機會——例如,如果不立即分享個人資訊,就無法獲得彩票中獎的機會。
  • 要求提供資訊:來電者會要求提供個人或敏感性資訊,如全名、地址、出生日期、護照號碼或信用卡詳細資訊。攻擊者可能已經擁有一些資訊,並試圖補充完整或驗證這些資訊。
  • 時效性元素:電話網路釣魚攻擊通常與時事有關。例如,在新冠肺炎疫情初期,攻擊者打電話給剛開始在家工作的人員並聲稱是其 IT 部門成員的員工。他們要求提供使用者名稱和密碼,以便能夠授予對公司應用程式和資料的存取權限。這些攻擊在全球都有發生,涉及各種組織。政府機構和非政府組織以及製造公司、軟體開發人員和航空公司都成為了目標。

如何不成為電話網路釣魚的受害者

個人可以遵循一些做法來保護自己免受網路釣魚的侵害。這些措施包括:

  • 對任何透過電話索取金錢或敏感性資訊的人保持警惕:(無論是個人資訊還是收件者所屬組織的資訊)。大多數官方機構不會透過電話要求提供此類資訊。
  • 意識到在電話中建立虛假身分的技術可能性:使用 VoIP 技術 ,偽造電話號碼或使用特定區域號碼並不難。因此,不應相信基於來電顯示或區號的來電。
  • 對緊迫性持懷疑態度:明智的做法是,不要相信任何似乎製造緊迫感或鼓勵立即行動的人。相反,要保持冷靜,考慮可能的後果。
  • 不隱含相信來電者的身分:透過搜尋該公司公開的電話號碼並給他們打電話來驗證來電者的身分,這一點非常重要。如果來電者提供回電號碼,則不應使用,因為這可能是騙局的一部分。如果打電話的人聲稱自己是朋友或家人,請通過其他通訊方式與此人聯繫,或聯絡共同好友,以核實其說法。

如何保護組織免受電話網路釣魚攻擊

公司可以在文化和技術層面採取幾種措施,以保護自己免受電話網路釣魚攻擊。

教育:對員工進行關於當前電話網路釣魚趨勢以及其一般特徵的教育非常重要。這樣一來,員工就能根據他們對特定場景的瞭解發現攻擊,或者在他們覺得存在電話網路釣魚攻擊的特徵時謹慎行事。如果領導者提醒員工在哪些情況下會或不會與他們聯繫,也會很有幫助。例如,首席執行官不會給員工打電話,要求他們提供私人資訊或進行銀行轉賬。儘管這看起來很明顯,但首席執行官定期傳達這一點仍然是有用的。

文化:組織應努力營造一種氛圍,讓其員工能夠對報告自己成為電話釣魚攻擊的受害者感到放心。理想的情況是,他們有一個處理此類案件的程序,確保員工瞭解該程序,並創造一種信任的氛圍,使員工不會擔心因為及時報告事件而受到影響。

技術:透過電話進行的電話網路釣魚攻擊比電子郵件中的網路釣魚攻擊更難偵測和預防。然而,可以採取某些步驟進行損害控制和監控。

  • 多重要素驗證:如果需要兩個或兩個以上的驗證因素來存取內部系統和資訊,攻擊者將很難透過電話竊取登入認證來獲得存取權限。
  • 最低權限原則:如果員工成為語音網路釣魚攻擊的受害者,他們的裝置被入侵了,確保將損失盡可能減至最少。確保員工只能存取他們的角色所需的系統和資訊是關鍵。Zero Trust 網路存取技術,如 Cloudflare 的 Zero Trust 服務,可以幫助管理這種存取。
  • 存取記錄:讓系統能夠偵測並監控異常活動非常重要。Zero Trust 技術也可以幫助組織做到這一點。
  • 將電子郵件安全作為一個感應器:攻擊者通常同時使用多種形式的社交工程學。使用 Cloudflare 的電子郵件安全性技術,能夠阻止電子郵件網路釣魚企圖,並在此類嘗試增加時提醒組織。電子郵件網路釣魚的增加往往意味著語音網路釣魚的增加。