86%的員工很有自信自己可以防備釣魚攻擊,但經過資安公司調查,有24%曾遭遇「釣魚」攻擊,17%在社群網站上被詐騙,12%上了「深偽」(deepfake)的當。
最近在新加坡有另一個全國性、為時長達兩星期的資安活動,目標為4500位企業員工,結果有30%的「釣魚」郵件被開啟,17%的「釣魚」連結被點擊。然後,只有5%的員工通報釣魚郵件。
新加坡的調查,發現新加坡企業員工的資安意識比許多西方國家還差,點擊率高,回報率低。新加坡的調查裡,聲稱來自公司內部的釣魚信件,上當被騙比率越高。
在另一篇講資安的文章裡分析,有三種「社交工程」手法常常得逞:
- 合理卻帶有緊迫感的請求:例如郵件中寫著「請在兩個工作天內回覆」,讓員工誤以為是來自上級的正常要求,進而放鬆警惕,快速點擊想要趕快完成。
- 下班時間的攻擊:駭客會選擇在週五或週六晚上,員工精神鬆懈時發送釣魚郵件,讓受害者更容易在無意間點擊惡意連結。而這時員工往往使用手機,更難查證,就會先點再說。
- 製造好奇心的「誤發副本」:駭客會將目標員工「誤抄」送進看似與工作無關、卻暗示有敏感或秘密訊息的對話中,激起員工的好奇心,誘導其打開惡意附件或連結。
有些員工會以為自己沒有什麼機敏資料,不會是攻擊的目標。但一旦自己的公務電腦成為跳板,就有可能藉此進入內網,得到更多隱私資料。即使有世界上最先進的防禦系統,也不可能百分百阻擋攻擊。駭客就是靠著不斷精進社交工程技巧,等待員工「放下戒心」的那一刻。
駭客的目標不只是金錢,身分證字號、地址電話、就醫資訊、公司帳號密碼等,都是他們覬覦的目標。一旦駭客入侵成功,可能潛伏數月甚至數年,伺機冒用員工身份行騙或將資料出售圖利。
資安專家說:達克效應(Dunning-Kruger Effect),一種人們高估自己能力的認知偏誤,在資安領域依然普遍存在。大企業常常是攻擊目標,但中小企業員工更缺乏憂患意識。最近台灣有些醫院屢屢成為攻擊目標,類似新加坡這種全面性的資安體檢,看來也有必要在台灣廣泛實施。
