Syarikat keselamatan siber Forcepoint baru-baru ini memberi amaran bahawa penggodam menggunakan umpan PDF palsu untuk mencuri maklumat log masuk pengguna Dropbox. Jabatan Keselamatan Siber Kementerian Komunikasi dan Multimedia (數發部資安署) menegaskan bahawa ini merupakan salah satu teknik serangan e-mel rekayasa sosial. Orang ramai diingatkan supaya tidak mengklik pautan mencurigakan atau memuat turun lampiran tanpa memastikan kesahihan pengirim dan kandungan, dan segera memadam semua e-mel yang mencurigakan.

Laporan keselamatan siber terbaru Jabatan Keselamatan Siber menyatakan bahawa Forcepoint mendedahkan tren peningkatan serangan phishing terhadap syarikat. Penyerang menggunakan teknik pengaburan berbilang peringkat yang kompleks untuk memperdaya pengguna memasukkan kelayakan akaun Dropbox, yang kemudian dicuri.

Menurut analisis Forcepoint, penyerang menghantar e-mel yang meminta pengguna menyemak pesanan pembelian palsu, disertakan dengan fail PDF. PDF tersebut mengandungi pautan yang, apabila diklik, akan membawa pengguna ke PDF kedua dan seterusnya dialihkan ke halaman log masuk Dropbox palsu untuk memasukkan nama pengguna dan kata laluan.

Forcepoint menjelaskan bahawa penyerang menggunakan kaedah ini untuk mencuri kelayakan pengguna, maklumat sistem dan lokasi, yang mungkin disalahgunakan untuk pengambilalihan akaun, akses sistem dalaman, atau penipuan.

Jabatan Keselamatan Siber menekankan bahawa cubaan memperdaya pengguna untuk membuka halaman log masuk Dropbox palsu adalah contoh klasik teknik rekayasa sosial, oleh itu tahap kesedaran tinggi adalah sangat penting. Orang ramai dinasihatkan supaya mematuhi prinsip “Berhenti, Periksa, Dengar” semasa menggunakan e-mel: Berhenti (停) iaitu jangan mudah percaya atau klik pautan, tetapkan e-mel kepada mod teks sahaja, hidupkan penapis spam, dan matikan mod pratonton untuk mengelakkan pautan atau lampiran mencurigakan dibuka terus; Periksa (看) iaitu semak pengirim dan kandungan e-mel, pastikan ia dijangka diterima dan relevan, serta perhatikan nama lampiran; dan Dengar (聽) iaitu jika perlu, sahkan kesahihan e-mel dengan pengirim, laporkan kepada pegawai keselamatan siber, dan padam semua e-mel mencurigakan untuk mengurangkan risiko menjadi mangsa.