劍達(香港)(Green Radar)發佈了最新的2023年度電子郵件威脅指數 Green Radar Email Threat Index(GRETI),指數為69.7分,較前一年度的66.5分相比有所增加,反映電郵威脅風險持續上升,應保持警惕。
報告指出,本年度的網絡釣魚(Phishing)和商業電郵詐騙(BEC)攻擊繼續處於「高」風險水平。尤其2023年發生了不少針對政府部門的網絡攻擊,導致數百GB的資料遺失,甚至有業務資料庫被盜,而遭入侵的組織又被黑客勒索贖金以致聲譽受損。當然,事故原因不乏人爲錯誤,但系統爲何不堪一擊亦十分值得反思。
AI降技術門檻 助長釣魚攻擊
香港電腦保安事故協調中心(HKCERT)早前公佈數據顯示,2023年共處理 7,752 宗保安事故,其中網絡釣魚更佔整體個案接近一半(3,752宗,佔48%),對比2022年上升27%,數字創五年新高。與網絡釣魚相關的連結更突破19,000條,相當於每日至少受到52次與釣魚有關的攻擊。
根據GRETI的分析,今年預計會有更多利用AI策劃網絡攻擊的情況出現。這是因為AI技術的應用可以幫助犯罪分子生成惡意軟件,同時降低了他們的技術門檻。在新一代的釣魚攻擊中,黑客不僅使用傳統的電郵方式,還運用AI Deepfake技術來冒充他人身份,以贏得受害者的信任,從而詐騙金錢。因此網絡釣魚仍然是最流行的電郵威脅類型,並且在本年度繼續保持上升趨勢;因此企業更需要部署相應的網路釣魚防護解決方案來保護員工和企業免受威脅。
Quishing手法不斷創新增命中
Quishing(QR Code釣魚)方面, 黑客用更改了背景顔色和錯誤比例的QR Code 圖片取代以往使用完整QR Code的釣魚電郵,使電郵安全閘道更難透過光學字符識別(OCR) 將這些影像識別為 QR Code。顯示黑客有試圖用不同的Quishing手法攻擊,證明了他們在幕後進行了廣泛的研究工作,以增加網絡釣魚命中率。
Green Radar服務運營執行副總裁李祟基表示:「網路釣魚攻擊可以透過不同的媒介,其中最常見的是電郵。攻擊目的是竊取憑證以接管帳戶,可能導致企業敏感資料外泄和詐欺轉帳等嚴重後果。由於攻擊利用人性弱點,必須防止員工成爲潛在漏洞。員工教育固然重要,但遠距工作和大量郵件和訊息處理使辨識複雜攻擊更困難,因此使用合適的網路釣魚防護解決方案至關重要。」