每一次数据泄露和在线攻击似乎都涉及某种网络钓鱼,企图窃取密码、登录、发起欺诈性交易或诱使人们下载恶意软件。事实上,Verizon发布了《2020年数据泄露调查报告》发现网络钓鱼是与数据泄露相关的头号威胁活动。企业经常提醒用户注意网络钓鱼攻击,但许多用户并不真正知道如何发现它们。另一方面,人类往往不善于发现骗局。根据Proofpoint的《2020年网络钓鱼状态报告》,65%的美国组织在2019年经历了一次成功的网络钓鱼攻击。这既表明了攻击者的技能,也表明了对同样复杂的安全意识培训的需求。此外:并非所有网络钓鱼诈骗都以相同的方式运作——有些是普通的电子邮件炸弹,有些是针对特定类型的人精心设计的,训练用户了解电子邮件何时可疑更难。让我们来看看不同类型的网络钓鱼攻击以及如何识别它们。网络钓鱼:群发电子邮件网络钓鱼的最常见形式是普通群发邮件,其中有人假装是其他人发送电子邮件,试图诱骗收件人做某事,通常是登录网站或下载恶意软件。攻击通常依靠电子邮件伪造电子邮件标头(来自字段),使电子邮件看起来是由受信任的发件人发送的。但是,网络钓鱼攻击并不总是看起来像UPS递送通知电子邮件、有关密码过期的PayPal警告消息或有关存储配额的Office365电子邮件。有些攻击是专门针对组织和个人设计的,而其他攻击则依赖于电子邮件以外的方法。鱼叉式网络钓鱼:攻击特定目标网络钓鱼攻击得名于此:骗子通过使用欺骗性或欺诈性电子邮件作为网络钓鱼的诱饵来寻找随机受害者。鱼叉式网络钓鱼攻击使用网络钓鱼比喻,因为攻击者专门针对高价值的受害者和组织。攻击者可能会发现攻击少数企业比试图获取1,000名消费者的银行登录详细信息更有利可图。政府支持的攻击者可能会以在其他国家为政府机构工作的雇员或政府官员为目标,以窃取国家机密。鱼叉式网络钓鱼攻击的成功率很高,因为攻击者花费大量时间来制作特定于收件人的消息,例如描述收件人可能刚刚参加的会议或发送带有提及收件人主题的文件名的恶意附件兴趣。在2017年的一次网络钓鱼活动中,Group74(又名Sofact、APT28或FancyBear)针对网络安全专业人士发送了一封声称与美国西点军校主办的美国网络冲突会议有关的电子邮件。网络学院由北约协作网络军事学院和北约协作网络防御卓越中心联合举办。虽然确实存在CyCon会话,但附件实际上是一个包含恶意VisualBasicforApplications(VBA)宏的文档,该宏会下载并执行名为Seduploader的侦察恶意软件。鲸鱼网络钓鱼:追逐大目标。不同的受害者。不同的发薪日。专门针对企业高管的网络钓鱼攻击被称为鲸鱼网络钓鱼攻击,因为受害者被认为是高价值的,被盗信息将比普通员工提供的信息更有价值。属于CEO的帐户登录比入门级员工打开更多的门。目标是窃取数据、员工信息和现金。捕鲸攻击也需要更深入地研究,因为攻击者需要知道目标受害者正在联系谁以及他们正在进行什么样的讨论。示例包括提及客户投诉、法律传票,甚至是公司管理中的问题。攻击者通常首先采用社会工程策略来收集有关受害者和公司的信息,然后设计用于鲸鱼网络钓鱼攻击的网络钓鱼消息。商务电子邮件入侵(BEC):冒充CEO除了常见的大规模网络钓鱼活动外,犯罪分子还针对财务和会计部门的关键人员进行商务电子邮件入侵(BEC)欺诈和CEO电子邮件欺诈。通过冒充财务人员和首席执行官,这些罪犯试图诱骗受害者将资金转移到未经授权的账户。攻击者通常会利用现有感染或通过鱼叉式网络钓鱼攻击来破坏公司高管或财务人员的电子邮件帐户。攻击者潜伏并监控该高管的电子邮件活动一段时间,以深入了解公司的内部流程和程序。实际的攻击采取了虚假电子邮件的形式,这些电子邮件似乎是从被招募的高管的账户发送给普通收件人的。这封电子邮件似乎很重要而且很紧急,要求收件人立即电汇一个外部或不熟悉的银行账户。这笔钱最终进入了攻击者的银行账户。根据反网络钓鱼工作组的《2020年第二季度网络钓鱼活动趋势报告》,“由于商业电子邮件妥协(BEC)攻击导致的电汇平均损失金额正在增加:2020年第二季度的平均电汇尝试金额为80,183美元。”克隆网络钓鱼:当复制时,当克隆网络钓鱼要求攻击者创建合法电子邮件的几乎完全相同的副本以诱使受害者相信它是真实的时,它也会起作用。这封电子邮件是从一个看起来像合法发件人的地址发送的,邮件文本与上一封邮件相同。唯一的区别是电子邮件中的附件或链接被替换为恶意附件或链接。攻击者可能会以需要重新发送内容的原始版本或更新版本为借口,来解释受害者为何再次收到“相同”的电子邮件。这种攻击是基于以前看到的合法邮件,使用户更容易被愚弄和攻击。已经感染了一个用户的攻击者可以使用这种技术来对付另一个也收到了克隆电子邮件的人。在另一种形式中,攻击者可能会创建一个带有欺骗性域名的克隆网站来欺骗受害者。语音网络钓鱼:通过电话进行网络钓鱼语音网络钓鱼需要使用电话。受害者通常会收到伪装成来自金融机构的消息的电话和语音消息。例如,消息可能会要求收件人拨打一个号码并输入他们的帐户信息或PIN(出于安全或其他官方目的)。但是,电话号码是通过IP语音服务直接拨给攻击者的。在2019年一次狡猾的语音网络钓鱼诈骗中,犯罪分子给受害者打电话,冒充Apple技术支持,向用户提供一个电话号码以解决“安全问题”。就像旧的Windows技术支持骗局一样,这个骗局利用了用户对他们的设备被黑客攻击的恐惧。SMS网络钓鱼:通过SMS进行网络钓鱼SMS网络钓鱼是“网络钓鱼”和“文本消息”的组合,文本消息(SMS)是大多数电话消息服务使用的协议。这种网络攻击使用误导性短信来欺骗受害者。目标是诱使人们认为消息来自受信任的人或组织,然后说服您采取行动,让攻击者获得可利用的信息(例如银行帐户登录)或访问您的移动设备。由于人们比电子邮件更有可能阅读和回复短信,因此短信网络钓鱼十分猖獗:人们阅读98%的短信并回复45%的短信,相比之下,只有20%的电子邮件和6%的电子邮件回复。与手机上相比,用户对计算机上的可疑消息的关注度较低,而且个人设备通常缺乏企业PC上使用的那种安全技术。雪鞋攻击:传播有毒邮件雪鞋攻击,或“打了就跑”的垃圾邮件,要求攻击者从多个域和IP地址发送邮件。每个IP地址发送少量邮件,因此基于信誉或数量的垃圾邮件过滤技术无法立即识别和阻止恶意邮件。一些电子邮件在过滤系统阻止它们之前就进入了电子邮件收件箱。Hailstorm活动的工作原理与雪鞋攻击大致相同,只是电子邮件是在非常短的时间内发送出去的。当反垃圾邮件工具做出反应并更新其过滤系统以阻止未来的邮件时,一些冰雹已经结束,攻击者已经将目光投向了下一个活动。学会识别不同类型的网络钓鱼用户不善于理解网络钓鱼攻击的影响。精明的用户可能能够评估点击电子邮件中链接的风险,因为这可能导致恶意软件下载或随后的诈骗电子邮件索要金钱。但是,天真的用户可能认为不会发生任何事情,或者最终会出现垃圾广告和弹出窗口。只有最精明的用户才能估计登录盗窃和帐户泄露可能造成的损害。风险评估中的这种差距使用户更难理解识别恶意电子邮件的严重性。组织需要考虑现有的内部意识活动,并确保为员工提供识别不同类型攻击的工具。组织还需要加强安全防御,因为一些传统的电子邮件安全工具(例如垃圾邮件过滤系统)不足以抵御某些类型的网络钓鱼攻击。
