2024/04/29

通常，突破企業安全防護最簡單的方式就是利用「人」，無論您採取多嚴密的防護，一旦「人」犯錯、受騙或是做了有風險的行為，像是重複使用或分享密碼、點擊不明連結或向不可信的來源提供憑證，就有可能成為防禦的破口。

根據Proofpoint調查，大部分企業都在為強化員工資安意識而努力，然而員工知道什麼該做跟實際行為是兩回事。儘管許多員工能分辨哪些行為會為公司帶來危險，但仍有96%有風險的行為起因是員工貪圖方便而明知故犯。培訓所面對的挑戰不只是要有效強化資安意識，還要能夠改善員工的行為。

TOAD(Telephone-oriented attack delivery)，又稱作電話傳遞攻擊，駭客會假扮客服等發送社交工程釣魚，並誘使受害者使用電話的方式與駭客聯繫，並藉此引導受害者下載惡意軟體、竊取憑證等。因為信件看似無害而難以防護，TOAD攻擊正不斷增加，Proofpoint平均每月會偵測到超過1000萬條TOAD訊息。

隨著越來越多企業開始落實MFA強化身分驗證，駭客也開發了許多竊取MFA Token來繞過多因素驗證的方式。而現今許多釣魚工具包也含蓋了這些功能，讓不少非專業駭客也能輕鬆濫用。其中最知名的莫過於EvilProxy框架，Proofpoint每月約偵測到100萬次使用該框架打造的釣魚威脅，僅依賴MFA保護帳戶安全並不能一勞永逸。