仿冒詐騙
仿冒詐騙仿冒詐騙是一種社交工程攻擊,仿冒詐騙者偽裝成合法的實體以騙取個人和敏感資料,或在用戶電腦裝置內安裝惡意軟件。仿冒詐騙通常使用虛假網站、電子郵件、即時通訊或短訊服務等形式進行攻擊,這些訊息中通常包含被惡意軟件感染的附件或惡意網站的超連結,目的是竊取用戶的敏感資料(例如登入憑證、銀行帳戶或信用卡資料等)和 /或入侵用戶的電腦裝置。仿冒詐騙者還可以在社交媒體平台上冒充使用者並聯絡其通訊錄上的聯絡人(例如朋友、合法機構)以進行仿冒詐騙攻擊,從而套取用戶的敏感資料和登入憑證。
根據一些網絡安全威脅趨勢報告,仿冒詐騙攻擊仍然是近年最常見的網絡攻擊方式。成功的仿冒詐騙攻擊可能會對受害者造成嚴重後果。對於個人而言,攻擊可能導致帳戶被接管、未經授權的財務交易、信用卡詐騙、電腦裝置被惡意軟件或勒索軟件感染等。對於機構而言,攻擊使網絡犯罪分子能夠進行各種惡意活動,例如入侵特權戶口、竊取敏感資料或干擾業務正常運作等。為避免成為仿冒詐騙攻擊的對象,了解如何識別和減低來自仿冒詐騙的威脅是十分重要的,方法包括通過提高個人的安全意識,建立適當的保安政策以及採用反仿冒詐騙解決方案等。
常見的仿冒詐騙類型
1.
欺詐性仿冒詐騙是最常見的仿冒詐騙攻擊。仿冒詐騙者製作與來自合法公司或可靠來源的郵件幾乎一樣的訊息,並且發送群發郵件誘騙用戶提供敏感資料,例如可識別個人身分的資料、銀行和信用卡資料或登入憑證等。
2.
魚叉式仿冒詐騙是較一般仿冒詐騙複雜的攻擊,專門針對特定的用戶或公司。仿冒詐騙者利用從不同來源(例如來自社交媒體的公開資料)所收集的個人資料製作並發送特定的電子郵件以假冒受到信任的群組,藉此要求特定的個人或機構進行非法行為,例如進行未經授權的財務交易、泄露敏感的個人或商業資料等。
3.
水坑式仿冒詐騙試圖通過注入惡意程式碼來破壞某些特定用戶群組瀏覽的網站。一旦用戶瀏覽被入侵的網站、被騙下載並執行受感染的檔案文件,在用戶不知情的情況下,惡意軟件會被安裝到用戶的電腦上並進行惡意行為。
4.
語音網絡式仿冒詐騙涉及仿冒詐騙者的電話詐騙,以欺騙個人或機構進行某些行為讓仿冒詐騙者得益。電話詐騙可以通過多種方式進行,例如偽造來電顯示號碼令用戶感到混淆,或使用互動式語音系統讓仿冒詐騙者與用戶直接對話,誘騙用戶提供個人資料等。
5.
短訊式仿冒詐騙涉及仿冒詐騙者發送非應邀的手機短訊,模仿可信任的第三方並誘使用戶點擊惡意超連結,令用戶連接到欺詐網站並誘騙用戶提供敏感資料,或通過回覆短訊來提供個人資料等。
6.
網域欺騙式仿冒詐騙將用戶從合法網站重新連接到欺詐網站,目的是竊取用戶的登錄憑證或敏感資料。仿冒詐騙者可以通過以下方式進行攻擊:
基於惡意軟件的網域欺騙式仿冒詐騙 - 在用戶的電腦上安裝惡意軟件,以修改電腦內部設置的網域名稱解析文件,並將用戶連接到惡意網站。
域名系統伺服器投毒 - 利用域名系統伺服器中的漏洞來更改網域名稱記錄,並將用戶連接到惡意網站。
7.
無線網絡式仿冒詐騙試圖通過誘使無線網絡用戶將其流動裝置連接到惡意無線網絡接入點來竊取用戶的敏感資料:
惡意無線網絡接駁點 - 仿冒詐騙者建立惡意的無線網絡接駁點以誘騙用戶在無線網絡接入點中輸入登錄憑證,或進行中間人(Man In The Middle)攻擊。
Evil Twin - 仿冒詐騙者通過偽造相同的無線網絡服務設定識別碼、基本服務設定識別碼、強制登錄頁面等以偽冒合法無線網絡熱點,從而誘騙用戶披露登錄憑證或敏感資料。
8.
二維碼式仿冒詐騙利用用戶的默許信任,不經意掃瞄隱藏惡意網站超連結的二維碼,以在流動裝置上進行惡意操作。例如仿冒詐騙者可以在用戶掃瞄二維碼後,將用戶連接到惡意網站以竊取用戶的敏感資料,將裝置連接到已遭入侵的無線網絡或進行自動付款等。
9.
彈出式視窗式仿冒詐騙利用含有欺詐訊息的“彈出式”視窗來進行仿冒詐騙攻擊。偽造的“彈出式”視窗旨在誘騙用戶點擊視窗上的內容,並將用戶連接到惡意網站以竊取敏感資料。
10.
社交媒體式仿冒詐騙利用用戶對社交媒體(如Facebook,Twitter等)的信任進行在線欺詐,通過假冒他人、網上情緣騙案、虛假活動邀請等手段誘騙用戶提供登錄憑證或敏感資料等。
常見的仿冒詐騙特徵
互聯網用戶使用電腦時,應時刻保持警惕。以下是一些仿冒詐騙訊息和可疑網站常見的特徵:
仿冒詐騙訊息的特徵
它是經由可疑的電子郵件地址發送(拼寫錯誤或與合法電子郵件地址相似,例如@g0v.hk)。
它包含可疑或不尋常的附件(例如,檔案副檔名為“.exe”、“.cmd”、“.bat”的文件),而可疑附件被嵌入惡意程式碼,可予執行下載惡意軟件。
它可能包含一般的問候語,例如“你好”或“尊敬的先生、女士”等。
它通常有語法上或拼寫上的錯誤。
它可能會在線上索取個人或敏感資料(例如身份證件號碼或用戶的帳單郵寄地址)。
它可能包含需要立即採取行動的重要通知,傳達威嚇訊息或提供非常吸引的折扣優惠(例如免費的海外旅行套票)。
它可能包含縮短的網站超連結,以避過根據黑名單操作的濫發郵件過濾器。
它可能會複製合法網站上的內容,例如文字、標誌、圖像、風格等,偽裝成真實訊息。
仿冒詐騙網站的特徵
它可能使用來自真實網站的內容,例如圖像、文字、標誌,甚至複製整個合法網站的外觀來誘使訪客輸入他們的敏感資料,例如個人帳戶資料或財務資料等。
它可能包含指向合法網站內容的真實網站超連結,例如聯繫我們、網站地圖或免責聲明以欺騙訪客。
它可能使用與合法網站近似的網站域名地址。
它可能包含“全自動區分電腦和人類的公開圖靈測試”(俗稱CAPTCHA驗證碼),訪客如通過測試,即被連接到惡意網站。
它可能包含文字輸入欄位,並要求訪客輸入敏感資料,例如登錄憑證。
它可能以彈出式視窗的形式刻意在前方展現,同時部分合法網站的網頁則在後方顯示,目的是令訪客誤以為自己正在瀏覽合法網站。
它可能通過小程式或超文本標示語言指令,偽冒合法網站的網址,建立假網址欄以取代原來網址。
可導致受到仿冒詐騙的用戶操作
如果用戶在收到仿冒詐騙訊息時執行以下操作,可能會成為仿冒詐騙攻擊的受害者:
點擊欺詐連結。
開啓/執行受感染的附件。
填寫並提交惡意仿冒詐騙網站上要求提供敏感資料(例如信用卡資料、可識別個人身分的資料等)的表格。
通過電子郵件、電話或社交媒體等向仿冒詐騙者披露敏感資料。
執行操作,例如轉移資金。
連接至欺詐Wi-Fi接入點並執行涉及敏感資訊的交易,例如進行財務交易、發送未經加密的個人資料等。
仿冒詐騙的潛在影響
財務損失
仿冒詐騙者可能利用從受害者獲得的敏感資料進行各種非法活動,例如將受害者的金錢轉移至他們的戶口。損失貴重的知識產權(包括商標、專利、商業秘密等)亦可能會造成重大的財務損失。
仿冒詐騙者可能利用從受害者獲得的敏感資料進行各種非法活動,例如將受害者的金錢轉移至他們的戶口。損失貴重的知識產權(包括商標、專利、商業秘密等)亦可能會造成重大的財務損失。
品牌聲譽受損
仿冒詐騙者可能進一步利用從用戶獲得的資訊來勒索、恐嚇用戶的聯絡人,甚或進行非法活動(例如黑客入侵用戶機構的系統以竊取機密資料),導致用戶受到指責,甚至令用戶須面對法律和刑責問題。對於受到攻擊的機構,其品牌聲譽可能會受到損害,而其客戶由於對機構在保護其資料方面失去信任,可能會將業務轉移至他處。
仿冒詐騙者可能進一步利用從用戶獲得的資訊來勒索、恐嚇用戶的聯絡人,甚或進行非法活動(例如黑客入侵用戶機構的系統以竊取機密資料),導致用戶受到指責,甚至令用戶須面對法律和刑責問題。對於受到攻擊的機構,其品牌聲譽可能會受到損害,而其客戶由於對機構在保護其資料方面失去信任,可能會將業務轉移至他處。
利用被盜憑證而進行隨後的針對性攻擊
成功的仿冒詐騙攻擊可能導致身分被盜用。仿冒詐騙者可能假冒一個合法實體,通過仿冒詐騙誘騙用戶提供敏感資料(如可識別個人身分的資料或財務資料),並利用以欺詐手段獲得的資訊來假冒用戶進行非法活動。
成功的仿冒詐騙攻擊可能導致身分被盜用。仿冒詐騙者可能假冒一個合法實體,通過仿冒詐騙誘騙用戶提供敏感資料(如可識別個人身分的資料或財務資料),並利用以欺詐手段獲得的資訊來假冒用戶進行非法活動。
干擾業務
仿冒詐騙者可以通過仿冒詐騙干擾業務運作。例如,機構的電腦系統如因受到仿冒詐騙攻擊而感染了惡意軟件,其日常運作可能受到嚴重干擾。這類干擾甚至可以對特定行業(如醫療行業)造成災難,例如醫療儀器受惡意軟件感染而無法運作,因而不能為病人提供急需的治理。
仿冒詐騙者可以通過仿冒詐騙干擾業務運作。例如,機構的電腦系統如因受到仿冒詐騙攻擊而感染了惡意軟件,其日常運作可能受到嚴重干擾。這類干擾甚至可以對特定行業(如醫療行業)造成災難,例如醫療儀器受惡意軟件感染而無法運作,因而不能為病人提供急需的治理。
防範仿冒詐騙的良好作業模式
一般建議
對個人的建議
對可疑訊息保持警惕
仿冒詐騙訊息可以變化多端,可能不容易發覺。用戶應留意以下建議,對可疑訊息經常保持警惕:
仔細檢查訊息內容。如果訊息提供極其吸引的優惠、令用戶覺得有迫切需要馬上採取特定行動、包含不合邏輯的內容或語法不正確等,應保持警惕。
如果發件人要求提供敏感資料,請核實其身分。
避免開啓任何可疑或非預期的附件。一些檔案副檔名為「.exe」、「.cmd」、「.bat」的可執行附件可能是仿冒詐騙者建立的惡意軟件。用戶不應開啓任何來源不明或有疑問的附件。
除非已核實第三方的身分,否則切勿向第三方發送個人和/或敏感資料。
仔細驗證劃一資源定位址後才點撃。如果劃一資源定位址看來有可疑,在點擊前使用抗惡意程式碼網站掃描器檢查劃一資源定位址。
如一個縮短的劃一資源定位址是發送自可疑來源,使用縮短的劃一資源定位址檢查器確定有關縮短的劃一資源定位址的完整版本。
避免回應任何可疑的付款要求。在實際付款前徹底核實有關付款要求。
確保二維碼來源可靠。慎防任何海報/招牌上的二維碼可能被惡意的二維碼貼紙覆蓋。
避免線上分享過多個人資料
用戶不應在其社交媒體或其他公眾渠道過度分享個人和敏感資料,否則可能會導致身分被盜用,黑客會利用有關個人資料假冒用戶進行欺詐活動。
用戶不應在其社交媒體或其他公眾渠道過度分享個人和敏感資料,否則可能會導致身分被盜用,黑客會利用有關個人資料假冒用戶進行欺詐活動。
避免使用公共Wi-Fi網絡
仿冒詐騙者可以通過公共網絡發動無線網絡式仿冒詐騙。用戶如果沒有連接至不知名的公共網絡,便可防範無線網絡式仿冒詐騙。他們可以選擇使用其流動電話的流動共享網絡和熱點功能而非使用不安全的公共Wi-Fi,以建立私人和安全的數據網絡連線。
仿冒詐騙者可以通過公共網絡發動無線網絡式仿冒詐騙。用戶如果沒有連接至不知名的公共網絡,便可防範無線網絡式仿冒詐騙。他們可以選擇使用其流動電話的流動共享網絡和熱點功能而非使用不安全的公共Wi-Fi,以建立私人和安全的數據網絡連線。
自行輸入網址
仿冒詐騙者可以掩蓋看似真實的劃一資源定位址的真正目的地,因此用戶可自行在網頁瀏覽器輸入劃一資源定位址,而非點擊通過電子郵件發送的連結,以避免成為仿冒詐騙攻擊的受害者。
仿冒詐騙者可以掩蓋看似真實的劃一資源定位址的真正目的地,因此用戶可自行在網頁瀏覽器輸入劃一資源定位址,而非點擊通過電子郵件發送的連結,以避免成為仿冒詐騙攻擊的受害者。
對機構的建議
加強用戶意識培訓
近年,仿冒詐騙事故造成的風險和影響正日益嚴峻,因此增強用戶對仿冒詐騙的意識十分重要。公司應定期為員工進行模擬仿冒詐騙活動等培訓,以加強他們對網絡安全的警惕,並減低他們成為仿冒詐騙攻擊受害者的機會。
近年,仿冒詐騙事故造成的風險和影響正日益嚴峻,因此增強用戶對仿冒詐騙的意識十分重要。公司應定期為員工進行模擬仿冒詐騙活動等培訓,以加強他們對網絡安全的警惕,並減低他們成為仿冒詐騙攻擊受害者的機會。
採用技術解決方案
公司可考慮採用以下技術解決方案防禦仿冒詐騙攻擊:
公司可考慮採用以下技術解決方案防禦仿冒詐騙攻擊:
多重認證 - 當有人試圖登入電腦系統時,多重認證機制會要求兩重或以上的認證因素。多重認證機制可以防止未經授權的人(可能是仿冒詐騙者),當一重認證因素受到破壞時得以接達用戶的系統。
以劃一資源定位址為本的過濾器 – 以劃一資源定位址為本的過濾器通過將網絡流量與威脅情報來源(例如資料庫的過濾政策)進行比較和限制接達,以防止員工接達惡意網站。
防火牆 - 防火牆可以過濾互聯網流量、偵測和封鎖嘗試通過未經授權的通訊渠道的數據外泄。
抗惡意程式碼軟件和抗濫發電郵軟件 – 有助封鎖惡意軟件的安裝和執行、偵測和刪除受感染的檔案等,以減低用戶點擊了惡意的連結或檔案時的風險。
反仿冒詐騙過濾器 - 通過將電子郵件中出現的統一資源識別符與已知用於仿冒詐騙攻擊的統一資源識別符資料庫比較,以偵測和封鎖仿冒詐騙電子郵件。
網站證書 - 採用由可信任的核證機關發出的網站證書,以向用戶保證機構網站的有效性。一般的證書包括域名認證、機構認證、個人認證和延伸認證。機構可以根據其業務需要選擇採用相關類型的證書。
電子郵件保安措施 - 採取電子郵件認證措施,例如域名金鑰識別郵件(DKIM)、發件人策略框架(SPF)、網域型郵件驗證、報告與一致性(DMARC)等,以保護機構的電子郵件領域不會被利用作電子郵件仿冒和仿冒詐騙等網絡罪行。機構亦可以採取額外電子郵件保安措施,以防禦最新的電子郵件仿冒詐騙攻擊。(參考中小企防範詐騙和中小企處理濫發電郵的提示)
反仿冒詐騙政策
機構應針對電子郵件加密、社交媒體和網絡接達、接達權限設定等制定全面的反仿冒詐騙政策,以防範機構的電腦系統可能受到仿冒詐騙攻擊。這些政策應詳盡地涵蓋機構的法律層面、管理層面、技術層面和程序需求,以建立適當的反仿冒詐騙做法,使其可以防禦層出不窮的仿冒詐騙攻擊威脅帶來的挑戰。
機構應針對電子郵件加密、社交媒體和網絡接達、接達權限設定等制定全面的反仿冒詐騙政策,以防範機構的電腦系統可能受到仿冒詐騙攻擊。這些政策應詳盡地涵蓋機構的法律層面、管理層面、技術層面和程序需求,以建立適當的反仿冒詐騙做法,使其可以防禦層出不窮的仿冒詐騙攻擊威脅帶來的挑戰。
應對仿冒詐騙攻擊
立即刪除仿冒詐騙訊息,以防止用戶再次接達惡意內容。
如果懷疑用戶的帳戶遭到入侵,應重新設定用戶的登入憑證(例如登入密碼)。
中斷受感染裝置的網絡連線,並對相關裝置進行完整掃描,以核實是否已下載惡意軟件。
立即向有關方面(例如資訊科技管理員)報告以進行調查和清理。如事件涉及犯罪活動,應向執法機構如香港警務處舉報。如事件涉及個人資料外泄,應向監管機構如個人資料私隱專員公署通報。如有需要,向香港網絡安全事故協調中心尋求有關事故應變和運作復原的意見。
對任何公眾或報章的查詢作出適切回應。
向有關方面(例如機構的受影響用戶、客戶等)發出警報,告知有關仿冒詐騙攻擊的詳情,並向相關方面建議適當的行動(例如立即更改密碼、將系統更新至最新版本等)。
調查攻擊的根本原因,看看是否由於人為錯誤或電腦系統存在安全漏洞等,並採取緩解措施應對攻擊。
進行審計以確保建議的緩解仿冒詐騙風險措施得以適當推行。
延伸閱讀
1.
Department for Digital, Culture, Media and Sport (DCMS) - Cyber Security Breaches Survey 2020(只提供英文版)
2.
Australian Cyber Security Centre (ACSC) - ACSC Annual Cyber Threat Report July 2019 to June 2020(只提供英文版)
3.
Cybersecurity & Infrastructure Security Agency (CISA) - Avoiding Social Engineering and Phishing Attacks(只提供英文版)
4.
香港警務處 - 最新騙案警示 - 假冒行政總裁電郵騙案
5.
香港網絡安全事故協調中心 - 香港保安觀察報告(2020年第二季度)
6.
Anti-Phishing Working Group(只提供英文版)