對話劫持：新類型的網路釣魚攻擊

現實查核

我們大多數人都知道網路釣魚電子郵件的威脅，這些電子郵件會偽裝成合法的企業來誘騙收件者匯款或傳送資料，或是按下惡意連結或附件。在大多數情況下，這些詐騙電子郵件會以新的電子郵件對話的形態出現，使它們相對容易識破。但網路釣魚是一種不斷演變的威脅，近年來又出現了一種新的、更複雜的手法，稱為「對話劫持」。

 

對話劫持的運作方式

顧名思義，「對話劫持」意味著在合法電子郵件對話之間傳送詐騙電子郵件。在大多數情況下，攻擊的目標是哄騙企業主管匯款至詐騙銀行帳戶。

攻擊通常是在網路罪犯取得供應商或企業主管的電子郵件帳戶存取權之後發動。在取得有用的電子郵件帳戶（例如負責寄送發票的人員）存取權之後，攻擊者可以等到涉及高價值交易的電子郵件對話出現之後採取行動。一旦對話出現，他們就可以回覆對話，要求將發票支付給他們控制的新銀行帳戶。心思縝密的攻擊者甚至可能模仿帳戶所有人的文筆，儘可能使電子郵件看起來名正言順。

您也猜得出來，這類攻擊可能非常有效，因為詐騙電子郵件看似交談自然而然的一部分，而不是隨機要求金錢或資料。如此一來，這些攻擊的勢頭日益增長。根據 Barracuda Networks 的研究報告，在 2021 年對話劫持攻擊增加了 270%。

 

您可以進行哪些防範措施？

那麼，如何避免成為這種攻擊的受害者？由於對話劫持是一種複雜的網路釣魚形式，與商務電子郵件入侵 (BEC) 攻擊的形式相同，因此，儘可能識別出違反協定或看起來就是格格不入的敏感要求，是非常重要的。

所以，如果您收到一封電子郵件，要求您付款給從未匯款過的新帳戶，或者傳送不應分享的敏感性資料，請不要依從要求。反之，請立即使用您記錄中的電話號碼打給寄件者。直接與寄件者交談即可查明要求是否正當。

另一方面，保護電子郵件帳戶的安全也很重要，這樣就不會被用來進行對話劫持詐騙。設定您在其它地方不會使用的長密碼（長度至少 12 個字元）。當使用者在多個服務中使用相同的密碼時，很多帳戶就會遭到入侵。如果某個服務沒有安全地儲存密碼，就會危及所有使用同一密碼的服務。

此外，如果您的電子郵件帳戶可以使用多重要素驗證，就請啟用。在大多數情況下，啟用此功能可確保您以簡訊或透過應用程式取得單次代碼，您需要在鍵入密碼之後輸入。這可以保證您的電子郵件帳戶不能單獨以密碼存取。

 

結論

雖然諸如對話劫持這類日新月異的攻擊可能會令人望而生畏，但只需進行幾項簡單的預防措施，即可保持安全。運用常識、驗證出乎意料的要求，以及保護電子郵件帳戶的安全，在防止攻擊與保護機構安全方面，會有長遠的影響。