捕鯨式攻擊是網絡犯罪分子偽裝成機構的高級參與者,直接針對機構中的高級人員或其他重要人員進行攻擊的一種方法,目的是竊取金錢或敏感資訊,或為犯罪目的存取其電腦系統。捕鯨也被稱為行政總裁欺詐,手法與網絡釣魚類似,使用電子郵件和網站欺騙等方法誘騙目標執行特定行動,例如披露敏感資料或轉移資金。
網絡釣魚欺詐針對的並非特定的個人,而魚叉式網絡釣魚針對的是特定的個人,而「捕鯨」則是後者的加倍攻擊,不僅針對那些關鍵人物,而且向他們發送的欺詐性通訊看起來像是來自其機構中某位高層人員或有影響力的人。可將這些目標人物想像成公司的「大魚」或「鯨魚」,例如行政總裁或財務經理。社交工程在這種欺詐中成為了額外的重要因素,因為員工不願意拒絕他們認為重要的人所提出的請求。
這種威脅非常真實,而且一直在增加。2016 年,Snapchat 的薪資部門收到一封看似由行政總裁發送的捕鯨電子郵件,要求提供員工的薪資資訊。去年,大型玩具公司美泰(Mattel)的一名高級財務主管收到了一封來自欺詐者,冒充新任行政總裁要求轉賬的電子郵件,最終成為捕鯨攻擊的受害者。公司因此損失了接近 300 萬美元。
捕鯨式攻擊的原理以及如何保護自己
如前所述,「捕鯨」與魚叉式網絡釣魚的不同之處在於,欺詐通訊似乎來自某位高層人士。當網絡犯罪分子利用社交媒體等公開可用的資源進行大量研究,為目標個人量身定制攻擊方案時,這些攻擊就會變得更加可信。
這可能包括一封看似來自高級經理的電子郵件,其中可能包括攻擊者可能在網上收集到的一些資訊,例如,他們在社交媒體上看到某人參加辦公室聖誕派對的圖片:「嗨,John,又是我,Steve,上週四你喝得很醉啊!希望你能夠將紅色襯衫上的啤酒漬洗掉!」
此外,寄件者的電郵地址通常看起來像是來自可信的來源,甚至可能包含公司標誌或指向欺詐網站的連結,而這些網站也被設計成看起來是正式網站的模樣。由於「鯨魚」在其機構內的信任度和存取權限通常都很高,因此值得網絡犯罪分子花費時間和精力來使其欺詐行為看起來可信。
防禦「捕鯨式」攻擊首先要教育機構內的關鍵人員,確保他們對成為攻擊目標的可能性時常保持警惕。鼓勵關鍵人員對主動聯絡保持健康的懷疑水平,尤其是涉及重要資訊或財務交易的接觸。他們永遠都應該問自己這個問題,我是否預期會收到某封電子郵件、附件或連結?請求是否有任何不尋常之處?
還應培訓他們注意攻擊的蛛絲馬跡,例如欺騙性(偽造)的電郵地址和姓名。只需將游標停在電子郵件中的姓名上,就會顯示其完整電郵地址。只要仔細觀察,就能發現它是否與公司名稱和格式完全一致。你的 IT 部門還應該進行模擬捕鯨演習,測試關鍵人員的反應。
在 Facebook、Twitter 和 LinkedIn 等社交媒體網站上發佈和分享網上資訊時,高級管理人員也應學會格外小心。生日、嗜好、假期、職銜、晉升和人際關係等細節都可能被網絡犯罪分子用來策劃更複雜的攻擊。
減少欺騙性電子郵件帶來的危險的一個絕佳方法是要求 IT 部門自動標記來自網絡外部的電子郵件以進行審查。捕鯨是否成功,所依賴的是網絡犯罪分子成功欺騙關鍵人員,令他們相信郵件來自公司內部,例如財務經理要求向某個賬戶匯款。即使是那些沒有受過專業訓練的人,標記外部電子郵件將有助他們可以更容易發現表面上看起來合法的虛假電子郵件。
部署提供 URL 篩選和連結驗證等服務的專業防釣魚軟件也是明智之舉。在涉及發佈敏感資訊或傳送大額資金時,考慮增加另一層驗證也是明智之舉。例如,在處理關鍵或敏感任務時,最好進行面對面會談或打電話,而不是簡單地以電子方式進行交易。
此外,針對網絡詐騙,兩個人總比一個人好。考慮改變貴機構的程序,任何付款必須由兩個人而不是一個人簽署。這樣做不僅可以讓一個人有第二意見來反駁任何懷疑請求,還可以消除他們的恐懼,即是,他們不用害怕因為拒絕請求而令那名高級人員感到惱火而遭到懲罰 -- 因為恐懼是這些攻擊者所依賴的一種關鍵的社會工程策略。