從韓劇看「魚叉式釣魚攻擊」

　　2022年韓劇「非常律師禹英禑」深受廣大觀眾喜愛，究其原因，除了男女主角高顏值且細膩的演技，加上生活化又扣人心弦的故事，使觀眾產生共鳴之外，也連結了不少重要議題，十分發人省思。尤其在大結局時，主角禹英禑承辦了一樁了重大資安事件--魚叉式釣魚攻擊，可見資安議題的重要性與日俱增，已成為熱門韓劇題材。

---

　　在「非常律師禹英禑」劇中，羅溫電商公司是韓國數一數二的大型電商公司，前景無限，卻遭到駭客利用魚叉式網路釣魚，被盜取近4,095萬筆用戶個資及信用資料（將近南韓80%的總人口數）。駭客入侵該公司資料庫負責人和他弟弟往來的電子郵件，清楚掌握兩人平時的對話內容，甚至模仿弟弟的口吻寄發電子郵件。由於郵件本身是為了攻擊特定對象而特別製作的惡意程式碼，防毒軟體無法偵測到，羅溫公司因為沒有妥善保護用戶個資，被廣播通信委員會處以KRW3,000億罰鍰（約NTD70億），若再加上遭4,000多萬名用戶集體訴訟索賠，電商巨擘很可能一夕之間瀕臨破產。

　　魚叉式釣魚攻擊（Spear phishing）係指針對特定目標，以電子郵件的方式，假冒該公司或組織的名義寄發難以辨識真偽之檔案，誘使郵件使用者進一步登錄其帳號密碼，攻擊者則藉此安裝特洛伊木馬或其他間諜軟體，竊取機密；有些駭客也會在員工時常瀏覽的網頁中置入病毒自動下載器，並持續更新受感染系統內之變種病毒，讓使用者窮於應付。

　　在該劇中，羅溫電商公司的資料庫負責人點擊了駭客假冒其弟弟寄發的私人履歷，因而將駭客藏在WORD檔中的惡意程式碼散播在電腦中，進而中了魚叉式釣魚攻擊。身為公司資料庫負責人，雖已熟悉各種網路釣魚方式^＊，但仍失去戒心，掉入惡意的釣魚電子郵件陷阱，更別提一般對網路不甚熟稔的使用者了。

　　面對變化多端的網路釣魚詐騙手法，一般使用者該如何預防呢？建議熟記「一換、二查、三防毒」的口訣。

　　・一換：一般駭客詐騙目標主要是用戶的帳號密碼，所以安全嚴謹的密碼是第一道防線，定期更換密碼且避免使用易被猜測的簡易密碼，可降低被駭客破解的機率。

　　・二查證：近期網路釣魚詐騙透過各種連結或簡訊，包裝成發生在用戶生活中的日常事件（如防疫保單申請連結、超商取貨包裹連結…等），因此，切勿輕易點擊任何連結，應先確認網址來源並進行相關查證，避免落入詐騙陷阱。

　　・三防毒：可使用專業的工具（例如防毒軟體）辨識、阻擋病毒，強化網路安全。

　　現代人的食衣住行育樂都脫離不了網絡和資訊設備，但網路釣魚詐騙手法多元且千變萬化，不僅韓國藉由韓劇宣傳資安的重要性，美國聯邦政府亦自2004年起，每年10月舉辦資安宣導活動，並將其訂為「全國資安意識月（National Cybersecurity Awareness Month, NCSAM）」，希望提升企業與民眾對於資安之重視，2022年的資安主題訂為「在網路中認識自我（See Yourself in Cyber）」，主辦單位說明，網路安全看似複雜，惟終究與人有密切關聯，使用者應多關心資安議題，避免落入詐騙陷阱，進而威脅到自身權益及隱私安全。世界各大國皆在引領資安意識的提升，你，跟上了嗎？

----------------------------------

^＊註

現有網路釣魚類型：

1. 網路釣魚（Phishing）--通常是透過電子郵件。
2. 魚叉式網路釣魚（Spear phishing）--精確鎖定特定對象的電子郵件。
3. 網路捕鯨（Whaling）--專門鎖定高階主管的網路釣魚郵件。
4. 內部網路釣魚 --源自企業機構內部的網路釣魚攻擊。
5. 網路釣魚電話（Vishing）--透過電話的網路釣魚。
6. 網路釣魚簡訊（Smishing）--透過手機簡訊的網路釣魚。
7. 社群媒體網路釣魚 --利用Facebook或其他社群媒體貼文的網路釣魚。
8. 網址嫁接攻擊（Pharming）--入侵 DNS快取的攻擊。

更多網路釣魚類型，請參考：http://bit.ly/3Jq2YLG

圖片來源：Freepik

＃