資訊安全貼士 (2023年9月號) – 注意魚叉式網路釣魚

• 何謂魚叉式網路釣魚攻擊?

魚叉式網路釣魚（Spear Phishing）是專門針對特定對象的網路釣魚（Phishing），其對象通常是某個機構，其最終目標是取得機密資訊，其技巧則包括：假冒他人名義、使用迷人的誘餌、避開安全機制 (如電子郵件過濾及防毒) 等等。

雖然一般的網路釣魚（Phishing）和魚叉式網路釣魚所使用的技巧類似，但兩者之間還是有所差別。兩者的差異在於，一般的網路釣魚（Phishing）相對單純，歹徒一旦偷到受害人的資料 (如網路銀行登入資訊)，就算達到目的。但對於魚叉式網路釣魚來說，取得登入資訊或個人資訊通常只是攻擊的開端，這是歹徒進入目標網路的手段，只能算是的跳板而已，實質是針對性攻擊/鎖定目標攻擊(Targeted attack ) 。

• 魚叉式網路釣魚如何運作?

魚叉式網路釣魚通常鎖定特定個人或某機構的特定員工及其社群媒體帳號 (如機構網站、 Twitter、Facebook 和 LinkedIn)，它們會精心製作出很有說服力的電子郵件內容，並且可能在電子郵件當中挾帶可造成感染的附件檔案和連結。一旦開啟檔案或連結，就會執行惡意程式或將使用者導向某個網站。接下來，駭客就能建立其秘密通訊網路，然後朝攻擊的下一階段邁進。

• 如何防範魚叉式網路釣魚?

為防範網路釣魚，學校已設置了多層次防護，來讓系統管理員確切掌握及掌控網路的狀況，進而降低針對性攻擊的風險，防範各種攻擊途徑。除此之外，更重要的是依賴員工及學生的資訊安全意識，懂得觀察郵件內的拼字錯誤、奇怪用詞，以及其他可疑的徵兆，就能預防一定程度的魚叉式網路釣魚。