網路釣魚趨勢和技術

網路釣魚攻擊是詐騙，通常會使用社交工程的誘騙或惡意內容。連結到網路釣魚網站的合法通訊，通常是電子郵件，是網路釣魚攻擊中最常用的方法之一。網路釣魚網站通常會模擬需要使用者輸入認證和帳戶資訊的登入頁面。網路釣魚網站接著會在使用者提供敏感性資訊時立即擷取該資訊，讓攻擊者能夠存取該資訊。

以下是攻擊者嘗試竊取資訊或取得裝置存取權的一些最常見網路釣魚技術。

發票網路釣魚

在此詐騙中，攻擊者嘗試利用電子郵件來誘騙您，指出您有來自已知廠商或公司的未付發票。然後，他們會提供連結供您存取和支付發票。當您存取網站時，攻擊者會想要竊取您的個人資訊和資金。

系統會要求您提供信用卡或其他個人資訊，以便向一般已知的廠商或供應商更新您的付款資訊。系統會要求更新，讓您可以傳遞已訂購的貨物。一般而言，您可能很熟悉公司，而且過去可能曾與他們進行過業務。不過，您並不知道最近從中購買的任何專案。

常見的 IRS 網路釣魚詐騙收到緊急電子郵件，指出您向 IRS 退款。如果您未及時存取網站並支付稅金，電子郵件通常會收到法律訴訟。當您存取網站時，攻擊者可以竊取您的個人信用卡或銀行資訊，並清空您的帳戶。

攻擊者傳送詐騙電子郵件，要求您開啟或下載檔附件，例如 PDF。附件通常包含一則訊息，要求您登入另一個網站，例如電子郵件或檔案共享網站，以開啟檔。當您使用登入認證存取這些網路釣魚網站時，攻擊者現在可以存取您的資訊，並可取得您的其他個人資訊。

網路釣魚電子郵件通常有效，因此攻擊者有時會使用這些電子郵件透過電子郵件中的連結或附件來散發勒索軟體。執行時，勒索軟體會加密檔案並顯示勒索附注，要求您支付總金額以存取您的檔案。

我們也看到有技術支持詐騙網站連結的網路釣魚電子郵件。這些網站會使用各種手段來誘使您呼叫裝訂者，並支付不必要的「技術支援服務」，以修正裝置、平臺或軟體問題。

魚叉式網路釣魚是一種目標網路釣魚攻擊，牽涉到高度自定義的偽裝內容。攻擊者通常會藉由調查社交媒體及其預期目標的其他資訊來源來執行偵察工作。

魚叉式網路釣魚可能牽涉到誘使您登入假網站和散佈認證。我也可能藉由按兩下自動安裝惡意代碼的連結，來吸引您開啟檔。有了此惡意代碼，攻擊者就可以從遠端操作受感染的計算機。

植入的惡意代碼可作為更複雜攻擊的進入點，稱為APT) (進階持續性威脅。 APT 是設計來建立長期控制和竊取數據。攻擊者可能會嘗試部署更隱蔽的入侵工具、橫向移至其他計算機、入侵或建立具特殊許可權的帳戶，以及定期從遭入侵的網路外洩資訊。

Whaling 是一種網路釣魚形式，會導向特定公司內的高階或資深主管，以取得其認證和/或銀行資訊的存取權。電子郵件的內容可能會寫入為法律傳票、客戶抱怨或其他主管問題。這種類型的攻擊也可能導致組織內的APT攻擊。

(BEC) 的商務電子郵件洩露是複雜的詐騙，其目標為經常與外部供應商合作或進行金錢電匯的企業。 BEC 攻擊者最常使用的其中一個配置，就是透過魚叉式網路釣魚攻擊來取得公司網路的存取權。攻擊者建立的網域類似於其目標公司，或詐騙其電子郵件以詐騙使用者釋放個人帳戶資訊以進行金錢轉移。

如需最新網路釣魚攻擊、技術和趨勢的相關信息，您可以在 Microsoft 安全性部落格上閱讀下列專案：