歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
駭客招數不斷翻新,「用戶帳號」仍是首要目標
2024 / 09 / 06
編輯部
FBI(美國聯邦調查局)和 CISA(美國網路安全暨基礎設施安全局)在8月29日發布了一份聯合公告,這是他們持續進行的
#StopRansomware
(停止勒索軟體)計畫的一部分,目的是協助各組織防範勒索軟體攻擊。最新的公告編號
AA24-242A
詳細說明了三項關鍵行動,以降低勒索軟體的網路威脅:
及時更新系統
、
採用防釣魚的多重要素驗證
(MFA),以及
加強員工資安意識教育
。
勒索軟體攻擊和個資外洩事件數量激增,讓資安防護面臨前所未有的挑戰。駭客的攻擊手法突飛猛進,而許多企業組織無法及時應對,導致資安團隊光是要跟上新型攻擊手法和受害案例的揭露速度,就已疲於奔命。如專家們先前所預測,生成式AI確實成為了駭客的利器,而面對這樣的威脅,我們必須立即調整資安策略,才能有效防禦。
即使不斷進行教育訓練,要讓一般使用者都能識別出高明的釣魚攻擊或複雜的AI換臉技術,還是有很高的難度。
資安長們一致認為 最大的資安風險就是使用者
駭客運用人工智慧技術(尤其是生成式AI)讓攻擊手法變得更加複雜難防,使得資安團隊面臨更大的挑戰。根據調查,網路犯罪集團最常使用的手法是透過釣魚攻擊來鎖定大型企業組織的員工,藉此取得系統存取權限。美國網路安全暨基礎設施安全局(CISA)的報告指出,
高達九成的勒索軟體攻擊都是從釣魚開始的
。
進階釣魚攻擊仍是駭客最愛用的手法,而隨著AI技術的進步,這些攻擊變得更加精準且難以防範。AI不僅能大規模發動針對企業內特定人員的客製化釣魚攻擊,還能利用組織及員工的真實資料,讓攻擊內容看起來更加逼真。除了難與正常信件區分,傳統的特徵辨識方法逐漸失效。這意味著,僅僅提升員工的資安意識已經不足夠,我們需要更先進的防護措施來應對這些新型威脅。
生成式AI催生了新型社交工程攻擊,使上述情況因
深度偽造技術(Deepfake)
的興起而更加複雜。網路犯罪分子如今利用AI生成的聲音和影片來冒充高階主管和其他可信人士。這些攻擊手法包括透過假冒可信的電話號碼進行詐騙,以及在視訊會議(如Zoom)中偽裝成熟悉的同事,並已成功誘導員工轉移資金、分享帳號密碼,以及執行其他可能危及資訊安全的操作。這類攻擊利用了員工對熟悉聲音和面孔的固有信任,因而極具危險性。
如今,暗網上充斥著各種駭客工具,讓一般人也能輕鬆發動網路攻擊。而在過去,釣魚和勒索軟體攻擊需要專業駭客的技術,但隨著生成式AI和新型網路犯罪工具的出現,能夠連上暗網的人都可以發動這類攻擊。勒索軟體即服務(RaaS)和AI驅動的工具在暗網上唾手可得,大大降低了攻擊門檻。這種轉變使得即使是對資訊安全一知半解的人,只要有電腦和網路,就能發動複雜的網路攻擊。這種趨勢可以說是將零工經濟的概念帶入了網路犯罪世界,讓資安防護變得更加棘手。
新威脅來襲,防禦策略也要升級
採用
防釣魚多因子驗證(MFA)
已成為刻不容緩的任務。隨著釣魚攻擊成為企業面臨的首要網路威脅,傳統MFA方案逐漸力不從心,受害案例持續增加即為明證。最新報告強調,面對AI增強的釣魚攻擊,部署新一代防釣魚MFA解決方案勢在必行。資安長們應迅速轉向硬體型、運用生物辨識技術,並符合FIDO標準的MFA解決方案,才能大幅降低釣魚和勒索軟體攻擊的風險。
本文轉載自 TheHackerNews。
StopRansomware
MFA
Deepfake
RaaS
AI釣魚攻擊
FIDO
最新活動
2024.10.16
2024 數位經濟資安趨勢論壇
2024.10.17
2024 金融資安趨勢論壇
2024.10.16
駭客集團秘辛大公開!了解組織運作、勒索病毒攻擊手法與應對全攻略
2024.10.30
從政策到實現 - 打造健全的機敏資料保護框架
看更多活動
大家都在看
馬來西亞駭客組織DragonForce 利用改良版LockBit和Conti勒索軟體發動攻擊
Whoscall:三成台灣人遇到詐騙後一小時內受騙
Microchip ASF 重大資安漏洞,物聯網設備恐遭遠端攻擊
NVIDIA Container Toolkit嚴重漏洞允許完全主機接管
美國CISA:駭客使用「簡易手法」攻擊工控系統
資安人科技網
文章推薦
Cloudflare 揭史上最大規模 3.8 Tbps DDoS 攻擊 全球多產業成為目標
MITRE 推出 「AI 事件資訊共享計畫」 強化產業防禦能力
數百萬輛Kia汽車面臨遠端駭客攻擊漏洞:僅需車牌資訊即可入侵