ADEY2591

面對逐漸嚴峻的資安威脅,無論是企業或個人,其實都面臨著嚴重的數位安全風險,尤其是對於企業高階主管而言,其艱困的資安情勢正變得更勝以往。

根據 Ponemon Institute 近期所發表,針對 856 名美國資安專業人士的調查,不法份子針對企業領導者的攻擊,在過去一年多的時間之內顯著增加,攻擊比例將從 2023 年的 43%,大幅攀升至 2025 年的 51%。

Ponemon Institute 表示,上述資安事件趨勢的產生,背後有多項因素共同推動,包含企業高管廣泛的數位足跡,以及深度偽造(Deepfake)技術、社交工程攻擊手法的配合,還有各種不受企業監控、不夠安全的家庭網路和個人設備,成為了駭客發起攻擊的突破口。

報告特別強調,由於企業普遍缺乏防範此類攻擊所需要的網路安全培訓與應變準備,因此容易導致企業高管陷入「完美風暴」,使網路犯罪分子有機會大量製造財務與聲譽損害,而受害者不僅包含主管及其家人,亦會波及整間企業。

Deepfake 素材易取得,曝光成主管弱點

根據 Ponemon Institute 的研究報告,在針對企業高階主管造成最大損害的攻擊類型方面,深度偽造與冒充攻擊的趨勢,呈現出十分顯著的上升,回報此類攻擊的受訪者比例,從 2023 年的 34%,上升至 2025 年的 41%。

此外,針對企業主管發動的深度偽造攻擊,其 AI 仿冒內容的訓練基礎,通常都是包含目標對象在內,真實存在的媒體樣本;至於那些遭到有心份子所偽造出來的內容,則包含靜態圖片、影片及音訊片段。

Ponemon Institute 指出,有鑑於企業高管、高淨值人士及其家屬,通常擁有高度曝光的公眾形象,以及相對活躍的社群媒體活動,導致包含他們在內的影像素材,皆可以於網路上輕易取得。

同時,當駭客取得、使用的素材樣本越多,其深度偽造內容就越顯逼真,因此企業高管才容易成為攻擊目標。

結合社交工程攻擊,「緊急」就是關鍵字

Ponemon Institute 進一步表示,不法份子配合深度偽造技術所採用的攻擊手法,最常見的是冒充目標對象所信任的人或組織,並且以偵測到安全漏洞為由,要求企業高管緊急支付金錢款項,或是主動提供敏感資訊。

調查顯示,在遭受深度偽造攻擊的對象中,有 28% 的人指出,駭客選擇盜用他人身分,例如同事、其他高階主管、家庭成員或知名安全組織。

此外,亦有 21% 的受訪者坦言,他們曾遇過高階主管與企業董事會成員收到緊急訊息,內容是要求公司立即因各種理由向對方付款,或是對虛假的安全漏洞做出回應。

另一方面,高達 42% 的受訪者表明,所屬企業的高階主管與董事會成員,平均曾三度成為深度偽造技術的攻擊目標;另外也有 66% 的受訪者指出,他們研判公司內部的高階主管,於未來極有可能成為同樣手法的攻擊對象。

然而,Ponemon Institute 的調查報告卻也透露,企業由於深度偽造技術造成的財務損失,通常既未獲得感知,甚至也未遭到量化。但是,員工處理此類攻擊事件所需耗費的時間成本,以及偵測、識別與修復安全漏洞的支出,卻是攻擊後續所衍生,造成企業財務損失最為嚴重的部分。

鎖定高管數位生活,家庭網路助駭客突破

探討深度偽造攻擊日益增多的原因,資安專家指出,首先是隨著 AI 工具及其他驅動社交工程攻擊的技術,由於科技發展而不斷普及,使有心份子製作精巧且逼真的深度偽造內容,其技術門檻持續降低。

其次,資安可視性挑戰亦使得偵測深度偽造等攻擊手法變得困難,例如調查中有超過半數的受訪者直言,旗下團隊缺乏必要的洞察力以防範資料外洩事件。

贊助 Ponemon Institute 進行調查的資安企業 BlackCloak 安全服務主管 Brian Hill 進一步表示,隨著網路攻擊的威脅態勢急速演變、不斷擴張,使擁有高知名度、高商業價值的企業主管,逐漸成為網路攻擊與實體攻擊的靶心。

Brian Hill 說,過去數年外界目睹深度偽造技術與冒充詐騙等,駭客的「精密戰術」不斷加速發展,攻擊目標更直接鎖定了企業領導者、高階主管們的私人數位生活;這些人手上的個人設備,以及遠離公司的家庭網路環境,正是駭客突破資安防禦的最佳途徑。

企業多面向資安升級,監控、回報要即時

因此,所謂的「數位主管保護」(Digital Executive Protection)措施,已然成為企業無法妥協的安全要務;畢竟,保護企業領導者及其家屬的數位安全,本質上就是降低企業的營運風險。

Brian Hill 認為,企業想要降低深度偽造攻擊的威脅,需要採取多面向、整體性的方法,同時著重於長期預防措施,並且嘗試減少即時損害。

舉例來說,Brian Hill 強烈建議企業可以考慮實施更強勢的電子郵件安全協議,並為所有帳戶建立強效的多因素驗證(MFA),部署更安全的密碼管理工具,以及持續監控員工將接觸到的家庭網路與裝置。

Brian Hill 強調,提高防禦力的關鍵在於,盡量減少企業高階主管的數位足跡,並主動監控來自個人裝置與家庭網路的威脅,同時教育主管及其家人,親手掌握實踐網路安全的最佳方法。

但若防禦措施不幸失效,仍然導致攻擊事件發生,使企業落入深度偽造詐騙或複雜的釣魚攻擊,Brian Hill 指出,此時企業應該儘速採取反應措施,包含從資料仲介手上刪除敏感資訊,並向金融機構申報詐騙交易,以及鎖定遭到入侵的帳戶等,進一步防止財務損失或資料外洩。

未來 AI 技術更成熟,威脅加深將是必然

Ponemon Institute 的調查報告,揭示當前深度偽造攻擊的浪潮,已為整體網路安全格局帶來關鍵轉變,即企業高階主管不僅成為駭客的首要攻擊目標,他們的數位科技生活,更有可能化身企業遭受入侵的脆弱入口。

隨著 AI 技術日益普及,但全面性的個人資安培訓卻相對不足,此類威脅的持續升級將成必然。

未來,企業得採取整體且主動的防禦策略,藉由減少數位足跡與強化個人裝置防護,實踐積極的數位主管保護措施,同時監控威脅並快速反應事件,讓高階主管能夠遠離不法份子,免受不斷升級的網路和物理威脅困擾。

本圖/文由「Techorange科技報橘」授權刊登,非經同意不得任意轉載。
原文出處:【企業高管成駭客最愛目標】Deepfake 搭配數位足跡,家庭網路化身攻擊入口