随着我们的生活越来越紧密,越来越依赖数字工具,网络犯罪也变得越来越普遍和危险。企业和个人必须不断应对各种类型的网络钓鱼攻击和大量其他网络犯罪。
据 Proofpoint 称,成功的电子邮件网络钓鱼攻击有所增加57%2021 年的数据泄露数量与 2020 年相比有所增加。根据《2021 年数据泄露调查报告》,在同一时期报告的所有数据泄露中有三分之一是由网络钓鱼活动引起的。这比上一年增加了 22%。
网络钓鱼攻击的增多对全球企业的顺利运营和个人隐私构成了严重威胁。我们所有人都必须能够识别这些骗局,避免成为其背后恶意代理的受害者。
为此,我们将介绍一些最常见的网络钓鱼攻击类型和一些防御策略。
什么是网络钓鱼攻击?
网络钓鱼是指任何形式的网络犯罪,这些犯罪涉及欺骗受害者以获取导致勒索的信息。这些攻击者通常会寻求个人和敏感信息,例如:出生日期、社会保障号码、电话号码、信用卡详细信息、家庭地址、密码信息。当他们成功后,他们会利用这些信息进行大额未经授权的购买、身份盗窃和资金窃取。
网络钓鱼被视为一种社会工程技术。这是因为受害者被诱导相信非法计划的合法性。攻击者利用受害者的弱点,操纵他们泄露个人信息或支付巨额金钱以保持信息私密。遭受网络钓鱼攻击的企业通常被迫支付赎金才能获得其运营数据。
网络钓鱼攻击针对特定用户。其目标和技巧可能各不相同;但是,欺骗和勒索这一基本前提是攻击的核心。
网络钓鱼攻击的类型有哪些?
网络钓鱼者通过两种方式吸引受害者。他们使用社会工程技术诱骗用户泄露个人信息,这被称为欺骗性网络钓鱼。他们还利用技术手段诱骗用户做他们想做的事情。他们诱骗用户下载恶意代码或利用设备软件漏洞发起攻击。
电子邮件钓鱼
电子邮件钓鱼是最常见的网络钓鱼攻击类型。
恶意代理会冒充知名品牌向用户发送电子邮件,然后使用社交工程策略营造虚假的紧迫感,诱使他们点击链接或下载资产。传统上,这些链接会将用户引导至恶意网站,这些网站要么窃取用户凭证,要么在用户设备上安装恶意代码(称为恶意软件)。下载内容通常是 PDF,其中包含恶意内容,当用户打开文档时,恶意软件就会被安装。
攻击者会不遗余力地设计与真实组织的电子邮件一模一样的网络钓鱼邮件。使用相同的措辞、字体、徽标和签名会增加邮件的可信度。通过电子邮件进行网络钓鱼是一种数字游戏。即使只有一小部分收件人上当受骗,攻击者只要发送数千封欺诈邮件就能获得有价值的信息和金钱。如前所述,攻击者使用各种技术来提高成功率。
恶意网站向用户请求机密信息或凭证,然后攻击者收集这些信息并用于欺诈目的。通常,网络钓鱼者不会直接使用凭证;相反,他们会在二级市场(例如暗网)上转售所获得的凭证或信息。
鱼叉式网络钓鱼
鱼叉式网络钓鱼是一种更有针对性的攻击。攻击者确定目标并研究目标,使攻击更加个性化,并增加目标落入陷阱的可能性。公司系统管理员和财务主管通常是鱼叉式网络钓鱼攻击的首选目标。
与批量网络钓鱼相比,鱼叉式网络钓鱼攻击者经常收集和使用有关其目标的个人信息来增加成功的可能性。这些电子邮件是根据目标的姓名、职位、公司、工作电话号码和其他信息定制的,旨在诱使收件人相信他们就是他们所声称的发件人。
鲸钓/CEO欺诈
捕鲸攻击是一种针对公司高层管理人员或其他高知名度目标的鱼叉式网络钓鱼攻击。
鱼叉式网络钓鱼者会瞄准高管并窃取他们的登录信息。如果他们的攻击成功,他们大多会利用这些信息进行 CEO 欺诈。CEO 欺诈是指攻击者滥用 CEO 或其他高级管理人员的受感染电子邮件帐户,授权向他们选择的金融机构进行欺诈性电汇,或下载安装恶意软件的附件或链接
尽管 CEO 欺诈的成功率相当低,但犯罪分子可以从少数成功的尝试中获取巨额资金。有多个组织因此类攻击而损失数千万美元的案例。
他们做的另一件事是利用同一个电子邮件帐户进行W-2 网络钓鱼他们要求所有员工提供 W-2 信息,以便他们可以代表员工提交虚假的纳税申报表或将这些数据发布在暗网上。鲸钓的目的是获取金钱和敏感的公司信息,从而使攻击者能够访问公司的知识产权、数据或其他可以出售的信息。
克隆网络钓鱼
克隆网络钓鱼是一种网络钓鱼攻击,即窃取先前发送的包含附件或链接的合法电子邮件的内容和收件人地址,并用于创建几乎相同或克隆的电子邮件。
电子邮件中的附件或链接被替换为恶意版本,然后从一个伪装成原始发件人的电子邮件地址发送。它可能声称是原始版本的重新发送或更新版本。
通常,这需要发件人或收件人先前遭到恶意第三方攻击才能获得合法电子邮件。
语音网络钓鱼
语音钓鱼是另一个可怕的威胁网络安全。这也被称为语音网络钓鱼。钓鱼者使用电话进行网络钓鱼攻击。
他们假装是从政府、税务部门、警察局或受害者的银行打来的电话,并试图让受害者相信,这些机构的账户有问题,而且除了提供所要求的敏感信息外,没有其他办法可以解决问题。
网络钓鱼者会拨打大量电话号码并播放自动录音(通常使用文本转语音合成器制作),虚假声称受害者的银行账户或信用卡存在欺诈活动。
老练的攻击者会伪造来电号码,显示被冒充银行或机构的真实号码。然后,受害者会被指示拨打攻击者控制的号码,该号码要么会自动提示他们输入敏感信息以“解决”所谓的欺诈行为,要么会将他们转接到试图使用社会工程学获取信息的真人。
与电子邮件网络钓鱼相比,语音网络钓鱼利用了公众对来电显示欺骗和自动拨号等技术缺乏认识,从而利用了许多人对语音电话的固有信任。
短信网络钓鱼
短信网络钓鱼或短信钓鱼是指攻击者使用短消息服务 (SMS) 系统直接向受害者发送虚假短信。
手机短信通常会邀请用户点击链接、拨打电话号码或联系攻击者通过短信提供的电子邮件地址。然后要求受害者提供敏感信息,例如信用卡详细信息或密码和其他私人数据。
移动用户很容易成为这些骗局的受害者。URL 可能无法在移动浏览器上完整显示;因此,很难识别非法网页。
众所周知,这些短信网络钓鱼网站还会试图用恶意软件感染人们的设备。
日历网络钓鱼
日历网络钓鱼是指通过日历邀请发送网络钓鱼链接。日历邀请会发送,默认情况下,这些邀请会自动添加到许多日历中。这些邀请通常采用 RSVP 和其他常见活动请求的形式。
日历网络钓鱼示例
2020年6月,涉及富国银行的企图员工被阻止。有趣的是,者利用日历邀请链接诱骗员工泄露他们的登录凭据。
社交媒体网络钓鱼(Soshing)
社交媒体是网络犯罪分子进行钓鱼攻击的新媒介。他们的目标包括账户劫持、冒充攻击、和恶意软件传播。
截至 2018 年第一季度,卡巴斯基实验室已报告社交媒体页面上的钓鱼尝试次数超过 370 万次。
社交媒体钓鱼示例
2014 年,部分微软服务的 Twitter 账户被劫持。尽管团队很快解决了这个问题,但客户数据仍然遭到泄露。
社交媒体网络钓鱼也可以采取微妙的形式,例如回答关于你自己的随机问题在社交媒体平台上。这种现象在 Facebook 上尤其普遍。
搜索引擎钓鱼
搜索引擎钓鱼的独特之处在于,攻击者不会费心发送有针对性的电子邮件。相反,攻击者会创建一个提供廉价产品和难以置信优惠的网站。
该网站会被合法的搜索引擎抓取并编入索引。潜在的受害者会点击该网站,以为这是一个普通的页面。该网站会鼓励用户输入个人信息。
网络钓鱼
域名钓鱼是两个词的组合:“Phishing”和“farming”。这种类型的钓鱼更难被发现。
恶意攻击者劫持域名服务器 (DNS),并将用户重定向到恶意网站。这些网站通常使用虚假 IP 地址并窃取受害者的数据。
域名欺骗攻击直接发生在网络浏览器中。与其他类型的网络钓鱼不同,域名欺骗攻击不需要事先通过电子邮件、短信或电话提示。您需要访问受影响的网站才能成为域名欺骗攻击的受害者。域名
欺骗示例
一个著名的域名欺骗攻击是2007年事件此次攻击影响了 50 多家金融机构。微软软件中的漏洞被利用,用于将用户重定向到恶意网站。受害者被要求输入登录凭据,同时恶意软件被下载到他们的设备上。三天内有 3000 多台个人电脑受到影响。
如何避免网络钓鱼攻击?
贯穿这些不同类型的网络钓鱼的一条主线就是利用人们的弱点。无论是制造虚假的紧迫感还是利用你的无知,网络钓鱼骗局背后的恶意代理人都依赖于你不知情或急于实现其目的。
对于用户来说,保持警惕是关键。网络钓鱼邮件通常包含一些细微的错误,这些错误会暴露其真实身份。这些错误可能包括拼写错误或域名更改,如前面的 URL 示例所示。用户还应该停下来思考为什么他们会收到这样的电子邮件。
组织和企业必须采取更实际的措施来防止或减轻成功的网络钓鱼攻击的影响。建立多因素身份验证系统 (MFA) 就是其中之一。它为访问企业帐户增加了额外的验证层。
1. 随时了解最新信息
新的网络钓鱼技术一直在不断涌现,因此请随时了解最新的攻击和关键标识符。了解网络钓鱼攻击是什么样子的。如果您不了解这些策略,您最终会成为它们的牺牲品。
组织应为员工组织教育课程。对所有数字工具用户进行持续的安全意识培训是一项强烈推荐的安全措施。投资于让员工具备网络安全意识。
2. 养成良好的网络习惯
a. 不要点击可疑链接。
确保点击受信任网站上的链接。当您可以确定网站的相关性和管理员时,该网站就是受信任的。安全网站的一个指标是其 URL。您可以信任 URL 以“HTTPS”开头且地址栏中前面有一个闭合锁图标的网站。
c. 不要从可疑电子邮件或网站下载文件。
您还可以检查网站的安全证书。如果您收到某个网站可能包含恶意文件的消息,请不要打开该网站。
将鼠标悬停在链接上,确保目标是正确的。如果可能,请使用搜索引擎导航到目标网站,而不是单击链接。使用搜索引擎时,请仔细检查声明。钓鱼网站的声明好得令人难以置信。
大多数钓鱼邮件都以“尊敬的客户”开头,因此当您遇到此类邮件时,应提高警惕。如有疑问,请直接前往邮件来源,而不是点击潜在危险的链接。
b不要点击弹出窗口
您还必须警惕弹出窗口。这些窗口会在您访问页面时弹出,看起来像是网站的一部分。很多时候,它们都是网络钓鱼企图。
大多数流行的浏览器都允许您阻止弹出窗口;您可以根据具体情况允许它们。如果某个弹出窗口漏网了,请不要点击“取消”按钮;此类按钮通常会将您引导至钓鱼网站。相反,请点击窗口上角的小“x”。
养成点击前先思考的习惯!
3. 使用反网络钓鱼插件和防火墙
反钓鱼插件可以发现恶意网站的迹象并提醒您注意已知的钓鱼网站。这些插件以工具栏的形式出现,并且与大多数浏览器兼容。
防火墙充当您和攻击者之间的屏障。它降低了网络钓鱼者访问您设备的机会。您应该使用两种不同的防火墙:桌面防火墙和网络防火墙。如果一起使用,它们可以大大降低黑客和网络钓鱼者入侵您的计算机或网络的可能性。
4. 不要分享个人信息
制定一条规则,绝不在互联网上分享个人或财务敏感信息。如果必须这样做,请确保在可信赖的网站上进行。
大多数钓鱼邮件会将您引导至需要输入财务或个人信息的页面。您绝不应该通过电子邮件提供的链接输入机密信息。如有疑问,请访问公司主网站,获取他们的联系方式,然后给他们打电话。
切勿向任何人发送包含敏感信息的电子邮件。养成检查网站地址的习惯。安全的网站总是以“HTTPS”开头。
5. 定期检查你的网上账户
养成定期更改密码的习惯。定期更换密码不仅可以防止网络钓鱼攻击者获得访问权限,还可以防止其他类型的网络犯罪。
为了防止银行网络钓鱼和信用卡网络钓鱼,您应定期亲自检查您的账单。获取您的财务账户的月结单,并仔细检查每一项记录,以确保没有在您不知情的情况下进行欺诈交易。
没有一种万无一失的方法可以避免网络钓鱼攻击;您必须具备网络意识和安全意识。您不必生活在对网络钓鱼的恐惧之中。只要牢记上述提示,您就能享受无忧的在线体验。
007TG(原名007出海),我们致力于为全球企业提供有关AI工具、私域营销获客、国际电商、全球客服、金融支持等最新资讯和实用工具。
关注【007TG官方频道】,免费领取【WS云控、TG云控、Facebook推广、SCRM】获客工具试用、【IP、VPS云服务器、筛号】免费资源!