都用「雙重步驟」了還是會被釣魚攻擊 該如何防範？李佩璇 (2024-11-19 14:53:25)

面對越來越複雜的網路釣魚攻擊，專家首先建議啟用雙因子驗證（2FA），為電子郵件帳號增添一道安全保障。

編譯／Cynthia

近年來，雙重步驟釣魚攻擊（Two-Step Phishing，2SP）已成為網路釣魚的最新手法，專門用來避開傳統安全檢測，竊取使用者憑證。根據Perception Point於2024年11月17日的報告，這種攻擊的核心在於「信任滲透」，透過合法平台或文件格式降低使用者的戒心，像是駭客藉由外觀看似正常的商業文件吸引受害者操作，並在多層次的操作過程中設下陷阱。這些手法雖然技術複雜，但都運用人們對熟悉工具的信任來掩飾惡意行為。

駭客利用Visio文件的職場普及性

駭客近期濫用Microsoft Visio的.vsdx檔案格式，藉其在職場的普及性降低受害者的戒心。Visio是許多企業用來設計流程與視覺化資料的常用工具，其文件格式看似無害，卻成為駭客的新武器。

更多新聞：破解網路釣魚攻擊 最佳方法在這裡

這類攻擊分為兩步，第一步是誘餌（lure），通常以業務提案或採購訂單為主題，附上緊急請求的電子郵件吸引受害者打開附件；第二步是陷阱（trap），受害者點擊後會進入嵌有惡意URL的Visio文件，最終導向假冒的登入頁面進行憑證竊取。這些手法展現駭客如何精心利用職場工具欺騙受害者，讓人防不勝防。

利用合法郵件與熟悉操作的攻擊手法

駭客透過入侵合法的電子郵件帳號，發送看似可信的釣魚郵件，通常以提案或文件為誘餌，吸引受害者點擊內含的URL。一旦點擊，受害者可能會被重新導向到類似SharePoint的頁面，進一步接觸到惡意的Visio文件。而駭客要求受害者按下Ctrl鍵開啟嵌入的連結，此操作不僅繞過自動化安全檢測，也利用用戶的操作習慣。接著受害者會被引導至假冒的Microsoft365登入頁面，駭客藉此竊取憑證。

SVG檔案成為新型攻擊工具

SVG（可縮放向量圖形）檔案因其特殊的技術特性，成為駭客用來竊取憑證或執行惡意程式碼的工具。不同於傳統像素圖，SVG檔案的內容以文字形式存在，這讓它能輕易繞過多數安全掃描工具。常見攻擊手法包括嵌入惡意表單模擬登入頁面，或透過JavaScript將受害者導向惡意網站。例如，駭客可能利用看似嵌有Excel表單的SVG，誘導受害者輸入登入憑證並竊取敏感資訊。

強化防範網路釣魚的多層防護

面對越來越複雜的網路釣魚攻擊，提升防範措施已是當務之急。首先建議啟用雙因子驗證（2FA），為電子郵件帳號增添一道安全保障。對於非工作中常見的附件格式應格外謹慎，並仔細核對發件人及內容的真實性。同時，面對含有緊急請求的郵件，用戶需提高警覺，避免隨意點擊附件或連結。另外組織應加強安全認知教育，讓員工了解最新攻擊手法並養成良好的防護習慣。透過多層次的保護與持續學習，用戶能更有效地降低受攻擊的風險。

資料來源：Forbes

※探索職場，透視薪資行情，請參考【科技類-職缺百科】幫助你找到最適合的舞台！

這篇文章 都用「雙重步驟」了還是會被釣魚攻擊 該如何防範？ 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。