公司電郵一定安全?教你3招識破魚叉式釣魚電郵陷阱!
2023年06月02日
近來不少駭客利用Chat GPT等的生成式AI編寫大量釣魚詐騙電郵,令釣魚電郵攻擊的數字不繼上升。相比一般釣魚陷阱,魚叉式網絡釣魚更難辨認,駭客可以偽裝成您的上司傳送電郵給你,聲稱需要您幫忙滙款並要借用您的信用卡,然後騙取您的金錢。由於寄件者是認識的朋友或同事,因此電郵看似更「真實」,從而放下警惕。
根據一間美國網絡安全公司2022年的報告,接近四分三的釣魚攻擊都是具針對性的魚叉式釣魚。雖然這類釣魚電郵很容易令人上當,但中小企可以參考以下辦法,避免墮入魚叉式釣魚電郵陷阱。
1. 檢查寄件者電郵地址
判斷釣魚電郵的第一步是先查看寄件者的電郵地址。駭客可以把惡意電郵地址偽裝成一些來自信譽良好、大眾所知的公司,如 Microsoft 或銀行但電子郵件並非由官方電子郵件網域傳送,使用例如 Gmail.com,或 microsoftsupport.ru。另外也要注意模仿合法網域名稱微妙的拼字錯誤, 例如 micros0ft.com,其中第二個 “o”由”0”所替代,或是 rnicrosoft.com,其中 “m” 則以 “r” 和”n” 取代,這是駭客的常見手法。此外,現時坊間有不少虛假電郵產生器用來偽造電郵,寄件者及電郵地址看似無異樣,實則由駭客的電郵地址寄出。
為了更準確辨認電郵地址的真偽,Gmail, Outlook等都可以點開電郵的「查看原始電郵」功能,系統會顯示電郵的原始碼,然後您可以檢查顯示的寄件電郵地址和真實的電郵地址是否一致。如下圖所見,寄件者的電郵地址並不相同,很大機會是釣魚詐騙電郵。
2. 預覽電郵內的連結
使用魚叉式釣魚的駭客通常都會偽裝成您的朋友、同事,合作夥伴。透過社交平台摸清您的背景後,進行釣魚電郵詐騙。中小企要特別留意需要資料或金錢來往的電郵,駭客可能冒認身份並傳送假帳單,要求您把帳目轉到另一戶口,因此必須查證帳單和戶口的真偽。另外,如果您懷疑電子郵件訊息是釣魚郵件,可以查看網址是否與訊息中列出的連結是否相符。 下圖所見,將滑鼠停留在連結上會在黃色背景的方塊中顯示真正的網址,數位字串看起來與該公司的網址完全是不一樣的, 有機會是釣魚電郵。駭客會用盡一切方法騙取金錢,通常會很直接地遊說您馬上滙款、按下連結或者下載可疑的檔案。若果遇到這些電郵,謹記不要點擊任何檔案或連結,應先向相關人員確認。
HKT作為您的第一道網絡防線,為您阻截釣魚連結,立即了解HKT 5A皇牌網絡安全保障
3. 留意電郵內容
人工智能(AI) 的應用越來越廣泛,駭客也開始利用AI編寫出不同的釣魚電郵內容。由於AI需要訓練後才能產生內容,加上AI的學習材料參差,釣魚郵件的內容語氣可能比較生硬、不自然,也有機會出現文法古怪、敘述方式錯誤、語境不相符等問題,因此可多留意這些文字細節。以有可疑的電郵對比平時對方和您溝通的方式和語氣,有助識破AI釣魚郵件的真偽。
魚叉式釣魚電郵以假亂真,實在很難辨認,因此必須提高警覺。除了參考以上方法外,使用合適的輔助工具也有幫助。HKT的5A皇牌網絡安全保障,涵蓋網絡、電郵、電腦設備及雲端數據,有效堵截不同網絡安全漏洞,助您識破網絡陷阱。HKT商業寬頻客戶更可免費享用「防惡意程式及偽冒網站」服務,收到可疑電郵時,系統會發出警告或阻止,讓您安心工作。
