• 發布單位:TWCERT/CC
• 更新日期:2021-01-22
• 點閱次數:3094

美國聯邦調查局日前發表資安通報，指出有愈來愈多針對企業發動的「vishing」攻擊，意圖竊取企業內部網路的帳號登入資訊。

美國聯邦調查局（Federal Bereau of Investigation, FBI）日前發表資安通報，指出有愈來愈多針對企業發動的「vishing」攻擊，意圖竊取企業內部網路的帳號登入資訊，用以發動進一步的駭侵攻擊。

FBI 指出，所謂「vishing」就是「voice phishing」（語音釣魚攻擊），是一種社交工程攻擊技術；攻擊者會假冒為受害者信任的個人或單位，利用語音通話與各種話術，試圖從受害者取得各種機敏資訊，例如金融帳戶或企業各種系統的登入資訊。

在這份報告中指出，攻擊者多半利用各種 VoIP 服務，針對全球企業中各種階層的僱員發動 vishing 攻擊。

目前 FBI 觀測到這類 vishing 語音釣魚攻擊的案例，正在快速增加，受害者遍及美國與全球各種規模的企業。

報告中提到一個案例指出，攻擊者先利用傳統釣魚攻擊方式，取得進入企業內部網路的權限，之後再透過 vishing 語音釣魚攻擊，從和企業內部僱員的通話中，取得更高權限的帳號登入資訊，用以發動更進一步的攻擊，並且竊取企業內部資訊。

也有攻擊案例是利用 vishing 語音釣魚攻擊，來誘導受害企業的僱員，利用假的 VPN 服務連線到攻擊者設立的假網頁，以騙取登入帳號。

這已經是美國資安情治單位，在一年之內，第二次針對 vishing 攻擊發布資安通報；前一次針對 vishing 攻擊發布資安通報的時間點，是在 2020 年八月時。當時有大量美國企業，因為疫情關係改為遠距工作形態，員工在外大量使用 VPN，也給攻擊者可乘之機，利用 vishing 攻擊手法取得 VPN 的登入資訊，混入企業內部網路後，發動進一步的攻擊。