2020年我們看到網路罪犯利用集體不確定性的機會發動「恐懼軟體」網路釣魚攻擊，且經由購買數千個廉價網域、定期更新其攻擊基礎架構，從而持續縮短攻擊活動的時間。隨著組織加深依賴SaaS（軟體即服務）協作工具，我們也發現內部帳戶入侵和網路釣魚的數量明顯增加。

我們預期今年電子郵件攻擊者會採用哪些新的策略和技術，而企業又將如何因應呢？本部落格對於安全團隊提出2021年須留意的五項預測。

1. 供應鏈詐騙將取代CEO詐騙

瞄準企業高階主管是廣為人知能讓攻擊者取得成功的一項策略，原因在於這些高階主管接觸到重要的敏感數據以及他們在公司中擁有的權限。但是隨著特殊保護措施逐漸落實，攻擊者很難接觸到這些人。攻擊者的替代方案轉向組織所信任的人士。

當攻擊者接管受信任第三方供應商的合法電子郵件帳戶，他們在沒有與企業高階主管互動的情況下，就能夠獲得大筆的報酬。由於既有的聯繫人之間存在著隱含的信任，因此擁有龐大客戶群的供應商和承包商可能成為更加誘人的攻擊目標。如果只須入侵一家公司就能將詐騙性發票寄送給一千家公司，何必費力分別去入侵500家公司呢？

已有跡象暗示了此發展方向。今年年初的研究發現，瞄準企業高階主管的欺騙攻擊正在減少當中。同時，備受矚目的SolarWinds駭客事件則說明了透過供應鏈進行網路攻擊的有效性。

2. 電子郵件安全解決方案和透過MX Records部署的第三方閘道將被淘汰

與其說這是來自攻擊者本身的威脅，其實是現有電子郵件安全工具 – 尤其是其部署方式所帶來的風險。許多電子郵件安全解決方案和第三方閘道就位於郵件流量中，透過郵件交換器記錄（MX記錄）的方式來引導流量，該記錄會指定負責接收電子郵件的郵件伺服器。

此方法的麻煩所在不是真正的安全問題：而是操作方面的問題。如果安全工具位於郵件流量中，就可能成為潛在的阻礙。如果安全閘道出了問題 – 例如：斷電 – 就有可能會中斷或擋掉全部的郵件流量。

這種業務中斷無可避免地將帶給安全團隊更大的壓力。即使在完全正常運行時，這種部署方法也會引發延遲，隨著遠端工作越來越普遍，未來將更無法容忍這種延遲。

因為這個理由，我們應該會看到安全團隊將這種部署方法，繼續變更為基於API的解決方案，因為這樣需要更動配置，也能降低當機的風險。

3. 電子郵件攻擊週期將持續縮短

過去，電子郵件攻擊基礎架構會持續幾個星期或幾個月。Darktrace的研究發現，詐騙性電子郵件的平均有效期限從2018年3月的2.1天下降至2020年的12小時。攻擊者可以輕易地購買幾美分的新電子郵件網域和一個全新的網域，而其中沒有惡意活動記錄，這很容易通過大多數電子郵件的安全信譽檢查。

對於依賴特徵碼和黑名單的傳統安全工具而言，這是令人擔憂的趨勢，而且此有效期限將持續趨於零。在不久的將來，我們可以預期攻擊者將可達到建立新網域、發送一封目標電子郵件，接著在週期重複之前就撤消攻擊基礎架構的階段。

4. 網路釣魚將變得更具有針對性

今年「恐懼軟體」的氾濫、迅速擴散，顯示了針對性和局部性網路釣魚誘餌是多麼有效果。線上和橫跨眾多社群平台上資訊的完全可用性，使攻擊者從「噴霧和請求」的發送方法，轉變為經過充分研究和量身定制的發送，造就成功機會較高的電子郵件。由於該技術可用於自動執行大部分偵察，自然可以假定攻擊者將採用這些工具的優點。

5. 駭客將針對身份而不是針對設備

至於攻擊者追尋已擴展遠端工作 – 以雲端服務作為目標的企業，則可能更適合追尋集中式、本地的基礎架構。與勒索軟體相比，用電子郵件發送的詐騙性發票，可以為那些只想取財的網路罪犯提供一種更安靜、更有利可圖的選擇。成功地模仿受信任的供應商，通常可成功地進行電匯詐騙攻擊。再者，由於這些攻擊包含「乾淨」的電子郵件 – 沒有任何連接或附件 – 通常很容易就能通過傳統安全工具。

網路罪犯現在持續尋找新的方式來規避傳統電子郵件安全工具。組織現在必須透過採取新的電子郵件安全方法，來為下一波電子郵件攻擊做好準備，如此才能夠抵消網路閘道所錯過新穎而複雜的攻擊。

現在已有數百個組織採用一種自我學習方法，此方法不依賴硬編碼規則和特徵碼，而是使用AI來發現電子郵件通信中威脅指示的異常模式。隨著攻擊者不斷地創新，對於安全團隊最重要的是，擁有最適化電子郵件安全技術，能夠根據新證據持續重新評估電子郵件。

了解更多關於AI電子郵件安全性的資訊：https://www.darktrace.com/en/products/antigena-email/