• 發布單位:TWCERT/CC
• 更新日期:2019-03-23
• 點閱次數:759

1.企業要解決網路釣魚的風險，只有教育訓練還不夠，可以搭配如：單一登入、用戶端SSL認證以及雙因素認證等方式，以解決越來越複雜的網路釣魚風險。

美國矽谷金流公司Stripe資安工程師Karla Burnett表示，目前統計的網路釣魚的方式大致可以分成三大類，其中有欺騙使用者採用行動，例如匯款的行為釣魚（Action Phishing）類型；鎖定員工電腦未更新的漏洞釣魚（Exploit Phishing）類型，以及今年發生竊取線上服務登入憑證的憑證釣魚（Credential Phishing）類型。
許多線上服務都需要有憑證作為確認服務真實性的基礎，但是憑證釣魚郵件就企圖收割線上服務的憑證，因此，憑證一旦遭竊，或者是點選偽造的憑證，駭客就可以直接存取所需要的資訊，包括使用者的帳號、密碼都可能遭駭客竊取。
單一登入就是由其他第三方提供的認證登入服務，代替使用者登入某個系統，因為這是組織系統管理員所提供的代登入服務，所有代登入的網站都經過合法驗證，不會發生突然轉址到惡意網址、登入惡意網站的情況。
使用者端透過瀏覽器提供SSL認證，是最友善且接受度高的認證服務，使用者幾乎都可以無痛認證而不覺得麻煩。最後，就是目前普遍使用的通用型雙因素認證機制，他表示，這些通用型產品通常是採用USB介面或者是藍牙方式，連結認證網站上無限多的認證號碼，每登入一個網站就要輸入一個認證號碼以確認身分。
Karla Burnett建議，企業採取相關配套作法來防制，包括了單一登入機制（SSO）、使用者端的SSL認證，以及使用越來越普遍的通用型雙因素認證（Universal Second Factor），可以降低網路釣魚風險。
 

參考連結：

http://www.ithome.com.tw/news/116178
https://www.tripwire.com/state-of-security/wp-content/uploads/sites/3/thumb_shutterstock_79924000_1024.jpg