在高度数字化的世界中,网络钓鱼攻击是持续存在的威胁,也是个人和组织一直关注的问题。鱼叉式网络钓鱼攻击是这类网络犯罪的一个分支,尤其值得关注。但究竟什么是鱼叉式网络钓鱼,是否可能预防这些攻击?
鱼叉式网络钓鱼:定义
虽然网络钓鱼是通过电子邮件、短信或电话实施的网络攻击的统称,但有些人可能想知道定向的网络钓鱼攻击怎么称呼。答案是鱼叉式网络钓鱼。最简单的解释是,这些是针对特定个人或公司的高度个性化的网络攻击。通常,这些攻击是通过鱼叉式网络钓鱼电子邮件进行的,这些电子邮件对收件人来说似乎是合法的,并鼓励他们与攻击者共享敏感详细信息。虽然鱼叉式网络钓鱼攻击的目的通常是窃取登录凭据或信用卡资料等信息,但有些攻击是为了让设备感染恶意软件。通常,政府支持的黑客和黑客行动主义者是鱼叉式网络钓鱼诈骗的实施者。不过,个别网络犯罪分子也会实施这些攻击,目的是实施 身份盗窃或金融欺诈、操纵股价、从事间谍活动或窃取机密数据,以将这些信息转售给政府、私营公司或其他感兴趣的个人。
鱼叉式网络钓鱼诈骗之所以如此成功(比标准网络钓鱼攻击更成功),是因为攻击者对预期目标进行了广泛的研究。他们可以利用发现的信息,使用社会工程技术创建专门定制的攻击来欺骗目标,让目标认为收到了合法的电子邮件和请求。因此,即使是组织内的高级别目标,如高管,也会打开自己认为安全的电子邮件。这类无意的错误让网络犯罪分子得以窃取攻击目标网络所需的数据。
鱼叉式网络钓鱼攻击如何运作?
成功的鱼叉式网络钓鱼诈骗基本上有五个步骤。这些是:
- 定义攻击目标
- 通过初步研究选择目标
- 确定目标候选名单并深入研究目标
- 利用收集到的信息和社会工程技术创建鱼叉式网络钓鱼电子邮件。
这些定向攻击之所以奏效,是因为鱼叉式网络钓鱼电子邮件会给收件人一种熟悉其生活的感觉。攻击者花费大量时间和精力来尽可能多地追踪收件人的工作、生活、朋友和家人的详细信息。通过搜索互联网以及 Facebook 和 LinkedIn 等平台上的社交媒体资料,网络钓鱼者可以找到电子邮件地址和电话号码、朋友圈、家人和业务联系人、常去的地点,以及工作的公司和职位、进行网上购物的网站、使用的银行服务等信息。利用所有这些信息,攻击者可以为潜在目标建立详细档案,并使用社交工程技术创建鱼叉式网络钓鱼电子邮件,这些电子邮件是个性化的,并且看起来是合法的,因为它们来自目标经常接触的个人或公司,并且包含的信息可能是真实的。
该电子邮件通常会要求收件人立即回复特定详细信息,或者包含一个链接,让他们在一个伪装成合法网站的网站上输入这些详细信息。例如,该电子邮件的链接可能会引导他们进入一个虚假的银行网站或首选电子商务网站,他们需要在该网站上登录其账户。此时,攻击者将能够窃取登录详细信息和密码,用于自己的恶意手段。不过,有时电子邮件会包含附件或链接,当收件人下载或点击时,会在他们的设备上安装恶意软件。攻击者随后可以利用该恶意软件窃取所需的信息,或劫持计算机以组织成巨大的网络(称为 僵尸网络),该网络可用于执行拒绝服务 (DoS) 攻击。
但是,务必要记住,并非每个互联网用户或社交媒体个人资料都是鱼叉式网络钓鱼的好目标。由于它比标准网络钓鱼更耗费精力,因此网络犯罪分子通常会寻找高价值目标。通常,攻击者会使用自动化算法来搜索互联网和社交媒体,以查找特定信息(例如密码或 PIN),并识别更有可能被成功实施鱼叉式网络钓鱼攻击的高价值个人。
这些诈骗已经变得如此复杂,以至于普通人几乎无法发起攻击。所以,尽管没有万无一失的鱼叉式网络钓鱼网络安全措施,但了解这些攻击的原理以及需要注意的迹象有助于避免这些攻击。
识别鱼叉式网络钓鱼诈骗
了解如何防止鱼叉式网络钓鱼的关键之一是了解网络钓鱼者为确保攻击成功而采用的不同技术。这样,个人和公司员工就可以防范鱼叉式网络钓鱼诈骗。当收到带有以下任何危险信号的电子邮件时,请务必谨慎对待该电子邮件。
- 这种电子邮件旨在制造一种紧迫感或恐慌感,邮件可能自称来自公司经理,并迫切需要登录详细信息以执行时间敏感的操作。
- 所用的语言旨在引发恐惧或内疚等情绪,刺激收件人采取行动。
- 电子邮件地址看起来不正确,可能是域不正确,或者名称格式不正常。
- 明显的拼写和语法错误,尤其是来自银行等大型组织的电子邮件。
- 要求提供敏感信息和个人详细信息。
- 链接拼写错误或格式不正确,将鼠标悬停在链接上时与目标地址不匹配。
- 不请自来的附件,尤其是文件名不寻常的附件。
- 使用借口,例如声称您的登录凭据即将过期,必须立即使用电子邮件中的链接进行更改。
鱼叉式网络钓鱼与网络钓鱼有什么区别?
虽然它们都是网络攻击的类型,但了解鱼叉式网络钓鱼攻击与网络钓鱼攻击的区别可能很重要。两者都被网络犯罪分子用来引诱用户分享敏感的个人信息,但从本质上讲,前者是针对预期目标的个性化定向攻击,而后者是广泛的攻击,旨在“钓取”用户因被欺骗而分享的任何敏感数据。
网络钓鱼攻击通常涉及一般电子邮件,试图迫使收件人分享密码和信用卡详细信息等个人数据。网络钓鱼者随后将这些信息用于恶意手段,如身份盗窃或金融欺诈。关键是,网络钓鱼攻击完全没有针对收件人进行定制。网络犯罪分子基本上是在碰运气,追求数量(发送大量网络钓鱼电子邮件)而非质量(使用更复杂的技术创建网络钓鱼电子邮件,成功率可能更高)。通常,这些电子邮件会冒充大公司(如银行或电子商务商店),并包含恶意链接,诱骗收件人分享其数据或在其设备上安装恶意软件。
而鱼叉式网络钓鱼诈骗则是高度定向的攻击,对预期受害者来说非常个性化。鱼叉式网络钓鱼电子邮件包含与特定收件人有关的详细信息,因此看起来更合法,特别是这些邮件通常来自收件人熟悉的个人或组织。因此,网络犯罪分子必须投入明显更多的时间和精力才能发起鱼叉式网络钓鱼攻击,而且更有可能成功。
对于想知道怎么称呼定向网络钓鱼攻击的人来说,除了鱼叉式网络钓鱼,还有两个特定的分支:捕鲸和商务电子邮件诈骗 (BEC)。
捕鲸攻击是第三种攻击类型,与网络钓鱼和鱼叉式网络钓鱼诈骗有很多相似之处。捕鲸专门针对高知名度人士,如高管、董事会成员、名人和政客。这些攻击还使用高度个性化的电子邮件来尝试窃取公司或组织的财务信息、敏感信息或其他机密信息,并可能对相关机构造成重大财务或声誉损失。
最后一种网络钓鱼攻击类型是 BEC,假冒公司员工对组织实施财务欺诈。在某些情况下,电子邮件可能声称来自高管,让下级员工向“高管”支付虚假发票或转账。BEC 还可能采取电子邮件入侵的形式,即攻击者劫持员工的电子邮件,让供应商支付假发票或让其他员工转账或提供机密信息。
如何防范鱼叉式网络钓鱼
传统的鱼叉式网络钓鱼网络安全措施往往不足以防范这些攻击,因为攻击执行得非常出色。因此,这些攻击越来越难以检测到。一个简单的错误可能会对目标造成严重后果,无论目标是个人、政府、企业还是非营利组织。尽管这些攻击很流行,而且个性化程度很高,但个人或组织可以采取许多措施来防范鱼叉式网络钓鱼。虽然这些措施不能完全消除攻击的威胁,但它们提供了更多层次的安全保障,使发生攻击的可能性降低。以下是一些关于如何防范鱼叉式网络钓鱼的专家提示。
- 定期检查可疑电子邮件,例如那些请求更改密码或包含可疑链接的电子邮件。
- 使用虚拟专用网络 (VPN) 保护和加密所有在线活动。
- 使用反病毒软件扫描所有电子邮件,以查找潜在的恶意电子邮件附件、链接或下载。
- 学会检查电子邮件来源的真实性。
- 了解如何验证 URL 和网站,避免打开恶意链接。
- 不要点击电子邮件中的链接,而是独立访问该组织的网站并搜索必要的页面。
- 确保所有软件都为最新,且运行最新的安全补丁。
- 谨防在网上分享过多个人信息,如有必要,请检查社交媒体个人资料,删除可能被网络钓鱼者使用的任何内容,并确保隐私设置设为最高级别。
- 使用密码管理器并养成明智的密码习惯,包括为不同的账户创建复杂的密码并定期更改密码。
- 尽可能启用多重身份验证或生物识别身份验证。
- 如果对某个电子邮件的来源有疑问,请联系相关人员或组织,核实他们是否发送了该电子邮件并且所要求提供的信息与邮件一致。
- 公司可以开展安全意识培训,确保员工了解这些攻击的风险以及如何减轻这些风险。
- 组织可以定期进行网络钓鱼模拟,培训员工如何识别和处理可疑电子邮件。
鱼叉式网络钓鱼攻击并非不可避免
大多数互联网用户对网络钓鱼有基本的了解,但了解鱼叉式网络钓鱼和标准网络钓鱼之间的区别很重要。由于鱼叉式网络钓鱼电子邮件使用社会工程技术,需要进行大量研究,因此这些攻击是针对预期目标高度定制的,成功几率远高于标准网络钓鱼攻击。虽然这些攻击总是会带来风险,但可以尝试减轻它们。采取措施了解可疑电子邮件中需要注意的警告信号,定期使用 VPN 和反病毒软件,并警惕可疑链接和附件,这些都有助于避免鱼叉式网络钓鱼攻击。
获取卡巴斯基优选版 + 1 年免费的 Kaspersky Safe Kids。卡巴斯基优选版荣获 AV-TEST 的最佳保护、最佳性能、最快 VPN、认可的 Windows 家长控制和 Android 家长控制最佳评分等五个奖项。
相关文章和链接:
相关产品和服务:
