示意圖,與新聞事件無關。

根據資安業者Imperva發表的一份駭客研究報告發現 ,有駭客在暗網上提供網路釣魚代管服務(Phishing-as-a-Service, PhaaS),可讓攻擊的投資報酬率達到11.97倍,遠較自行攻擊的1.6倍為高。 

Imperva引用在暗網上發現的網釣即服務廣告,加上分析該服務成功率,以及透過網釣竊得的用戶帳號密碼在黑市的價值等資料,分析發現,訂閱網釣即服務的單月非折扣會員價只要4.2美元,加上需要約半個小時、價值約7.5美元的初始設定人工成本,執行一個月、達成有效攻擊14天、每天騙得1000筆帳密的網釣攻擊,可以創造140美元的投資回報,而要達到同樣回報水準的自行攻擊,則要花費27.65美元的攻擊工具費用與60美元的人力成本,投資報酬率雖遠低於PhaaS服務,但1.6倍也勝過許多一般企業。 

Imperva表示,PhaaS的出現,讓有意發動網釣攻擊的駭客有了更低成本的選擇,並且勢必會導致網釣攻擊事件與受害者的增加。 

該公司研究人員還發現,網釣攻擊受害者點擊誘餌連結的高峰時間,是平日早上9點至中午的工作時間,有高達35%的成功攻擊發生在此時段,顯示企業員工在忙於工作與回覆郵件時,心防特別低,此外,相較於釣魚網站,要求使用者輸入帳號密碼的釣魚文件,如經特別設計的PDF檔案,更容易騙取使用者信任,為了開啟檔案而大意輸入了帳號密碼。


Advertisement

更多 iThome相關內容