都用「雙重步驟」了還是會被釣魚攻擊 該如何防範?李佩璇 (2024-11-19 14:53:25)





面對越來越複雜的網路釣魚攻擊,專家首先建議啟用雙因子驗證(2FA),為電子郵件帳號增添一道安全保障。


編譯/Cynthia




近年來,雙重步驟釣魚攻擊(Two-Step Phishing,2SP)已成為網路釣魚的最新手法,專門用來避開傳統安全檢測,竊取使用者憑證。根據Perception Point於2024年11月17日的報告,這種攻擊的核心在於「信任滲透」,透過合法平台或文件格式降低使用者的戒心,像是駭客藉由外觀看似正常的商業文件吸引受害者操作,並在多層次的操作過程中設下陷阱。這些手法雖然技術複雜,但都運用人們對熟悉工具的信任來掩飾惡意行為。






面對越來越複雜的網路釣魚攻擊,專家首先建議啟用雙因子驗證(2FA),為電子郵件帳號增添一道安全保障。(示意圖/123RF)



駭客利用Visio文件的職場普及性




駭客近期濫用Microsoft Visio的.vsdx檔案格式,藉其在職場的普及性降低受害者的戒心。Visio是許多企業用來設計流程與視覺化資料的常用工具,其文件格式看似無害,卻成為駭客的新武器。




更多新聞:破解網路釣魚攻擊 最佳方法在這裡




這類攻擊分為兩步,第一步是誘餌(lure),通常以業務提案或採購訂單為主題,附上緊急請求的電子郵件吸引受害者打開附件;第二步是陷阱(trap),受害者點擊後會進入嵌有惡意URL的Visio文件,最終導向假冒的登入頁面進行憑證竊取。這些手法展現駭客如何精心利用職場工具欺騙受害者,讓人防不勝防。




利用合法郵件與熟悉操作的攻擊手法




駭客透過入侵合法的電子郵件帳號,發送看似可信的釣魚郵件,通常以提案或文件為誘餌,吸引受害者點擊內含的URL。一旦點擊,受害者可能會被重新導向到類似SharePoint的頁面,進一步接觸到惡意的Visio文件。而駭客要求受害者按下Ctrl鍵開啟嵌入的連結,此操作不僅繞過自動化安全檢測,也利用用戶的操作習慣。接著受害者會被引導至假冒的Microsoft365登入頁面,駭客藉此竊取憑證。




SVG檔案成為新型攻擊工具




SVG(可縮放向量圖形)檔案因其特殊的技術特性,成為駭客用來竊取憑證或執行惡意程式碼的工具。不同於傳統像素圖,SVG檔案的內容以文字形式存在,這讓它能輕易繞過多數安全掃描工具。常見攻擊手法包括嵌入惡意表單模擬登入頁面,或透過JavaScript將受害者導向惡意網站。例如,駭客可能利用看似嵌有Excel表單的SVG,誘導受害者輸入登入憑證並竊取敏感資訊。




強化防範網路釣魚的多層防護




面對越來越複雜的網路釣魚攻擊,提升防範措施已是當務之急。首先建議啟用雙因子驗證(2FA),為電子郵件帳號增添一道安全保障。對於非工作中常見的附件格式應格外謹慎,並仔細核對發件人及內容的真實性。同時,面對含有緊急請求的郵件,用戶需提高警覺,避免隨意點擊附件或連結。另外組織應加強安全認知教育,讓員工了解最新攻擊手法並養成良好的防護習慣。透過多層次的保護與持續學習,用戶能更有效地降低受攻擊的風險。




資料來源:Forbes




※探索職場,透視薪資行情,請參考【科技類-職缺百科】幫助你找到最適合的舞台!



這篇文章 都用「雙重步驟」了還是會被釣魚攻擊 該如何防範? 最早出現於 科技島-掌握科技新聞、科技職場最新資訊

加密貨幣
比特幣BTC 98132.08 647.38 0.66%
以太幣ETH 3466.56 48.63 1.42%
瑞波幣XRP 2.32 0.07 3.16%
比特幣現金BCH 471.15 31.09 7.06%
萊特幣LTC 103.85 4.17 4.18%
卡達幣ADA 0.970011 0.08 9.55%
波場幣TRX 0.251756 0.00 0.11%
恆星幣XLM 0.376460 0.01 1.58%
投資訊息
相關網站
股市服務區
行動版 電腦版
系統合作: 精誠資訊股份有限公司
資訊提供: 精誠資訊股份有限公司
資料來源: 台灣證券交易所, 櫃買中心, 台灣期貨交易所
依證券主管機關規定,使用本網站股票、期貨等金融報價資訊之會員,務請詳細閱讀「資訊用戶權益暨使用同意聲明書」並建議會員使用本網站資訊, 在金融和投資等方面,能具有足夠知識及經驗以判斷投資的價值與風險,同時會員也同意本網站所提供之金融資訊, 係供參考,不能做為投資交易之依據;若引以進行交易時,仍應透過一般合法交易管道,並自行判斷市場價格與風險。
請遵守台灣證券交易所『交易資訊使用管理辦法』等交易資訊管理相關規定本資料僅供參考,所有資料以台灣證券交易所、櫃買中心公告為準。 因網路傳輸問題造成之資料更新延誤,精誠資訊不負交易損失責任。