进入2023年,网络钓鱼依然一如既往地活跃在互联网的各个角落。《2022Verizon数据泄露调查报告》指出,去年75%的社会工程攻击涉及网络钓鱼,仅去年一年就有超过33万个账户被钓鱼,占整体社会工程攻击的41%。不能将所有责任都归咎于员工,因为安全意识建设和教育薄弱是大多数漏洞利用的原因。本文收集整理了最常见的五种钓鱼攻击类型,并给出防护建议。1.欺骗性网络钓鱼欺骗性网络钓鱼是最常见的网络钓鱼诈骗类型。在这种策略中,欺诈者冒充合法公司窃取人们的个人数据或登录凭据。这些电子邮件经常使用威胁和紧迫感来恐吓用户去做攻击者想做的事。欺骗性网络钓鱼有多常见合法链接许多攻击者试图通过将合法链接合并到他们的欺骗性网络钓鱼电子邮件中来逃避电子邮件过滤器。混合恶意代码和良性代码负责创建网络钓鱼登录页面的人员通常会混合恶意代码和良性代码来欺骗ExchangeOnlineProtection(EOP)。重定向和链接缩短攻击者不想向受害者发送任何危险信号。因此,他们使用缩短的URL来欺骗安全电子邮件网关(SEG)。修改品牌标志某些电子邮件过滤器可以发现攻击者何时窃取组织的标志并将其合并到他们的攻击电子邮件或网络钓鱼登录页面中。他们通过查找徽标的HTML属性来做到这一点。为了欺骗这些检测工具,攻击者会更改徽标的HTML属性,例如颜色。最少的电子邮件内容攻击者试图通过在他们的攻击电子邮件中包含最少的内容来逃避检测。例如,他们可能会选择通过图像而不是文本来做到这一点。如何防御欺骗性网络钓鱼欺骗性网络钓鱼的成功取决于攻击电子邮件与欺骗公司的正式信件的相似程度。员工应仔细检查所有URL,看它们是否重定向到未知和/或可疑站点。您还应该注意通用术语、语法错误和印刷错误。2.鱼叉式钓鱼在鱼叉式钓鱼中,攻击者使用目标的姓名、职位、公司、工作电话号码等信息自定义他们的攻击邮件,以诱使收件人相信他们与发件人有联系。人们是相互联系的。他们的目标与欺骗性网络钓鱼相同:让受害者点击恶意URL或电子邮件附件以交出个人数据。在云服务上存储恶意文档是鱼叉式网络钓鱼的常见方式CSO报告称,攻击者越来越多地将恶意文档存储在云服务上。一般来说,IT不太可能阻止这些服务。泄露的令牌CSO还指出,犯罪分子正试图破坏API令牌或会话令牌。这方面的成功将使他们能够窃取对电子邮件帐户或其他资源的访问权限。收集外出通知攻击者需要大量情报才能发送令人信服的鱼叉式网络钓鱼活动。他们可以做到这一点的一种方法是通过向员工发送电子邮件并收集外出通知,以了解内部员工使用的电子邮件地址的格式。探索社交媒体的攻击者需要知道谁为目标公司工作。他们可以使用社交媒体来调查组织的结构,并决定他们想要挑出谁进行有针对性的攻击。AIAI可以从社交媒体网站上抓取个人数据,使黑客更容易定制电子邮件和欺诈性通信。如何防御鱼叉式网络钓鱼为防止此类诈骗,企业应持续开展员工安全意识培训,其中包括防止员工在社交媒体上发布敏感的个人或公司信息。公司还应该投资鱼叉式网络钓鱼预防解决方案,分析入站电子邮件中的已知恶意链接/电子邮件附件。3.捕鲸“捕鲸”泛指针对企业高管的网络钓鱼攻击。商业电子邮件妥协(BEC)骗局的第二阶段,捕鲸是指攻击者滥用CEO或其他高级管理人员的受损电子邮件帐户,授权向他们选择的金融机构进行欺诈性电汇。鲸鱼渗透网络的一种常见方式是比欺骗电子邮件帐户更有效地破坏高管的帐户。因此,攻击者可以使用恶意软件渗透目标网络。跟进电话攻击者跟进捕鲸电子邮件并拨打电话以确认电子邮件请求。追踪供应链攻击者使用有关目标供应商和供应商的信息,使他们的捕鲸电子邮件看起来像是来自可信赖的合作伙伴。如何抵御捕鲸捕鲸之所以有效,是因为管理人员通常不参加员工的安全意识培训。组织应强制所有公司人员(包括高管)持续参加安全意识培训。企业还应考虑在其财务授权流程中注入多因素身份验证渠道,这样任何人都无法仅通过电子邮件授权付款。4.电子邮件钓鱼到目前为止,我们已经讨论了大多数依赖电子邮件的钓鱼攻击。但攻击者有时会转向其他媒介进行攻击。例如,这种类型的攻击不是发送电子邮件,而是拨打电话。攻击者可以通过设置互联网协议语音(VoIP)服务器来冒充各种实体来窃取敏感数据和/或资金,从而开展网络钓鱼活动。常用的消息传递方式钓鱼技术术语如果攻击者针对公司的员工,他们可能会使用技术术语来冒充内部技术人员来诱导员工交出他们的信息。ID欺骗攻击者欺骗他们的电话号码,以便他们的电话看起来来自目标区号中的合法电话号码。如何防御网络钓鱼为防止网络钓鱼攻击,用户应避免接听来自未知电话号码的电话,切勿在电话中泄露个人信息,并使用来电显示应用程序。5.SMS网络钓鱼通信网络钓鱼并不是唯一一种使用手机进行的网络钓鱼。比如短信诈骗。该方法利用恶意短信诱骗用户点击恶意链接或提交个人信息。短信钓鱼常见方式恶意应用下载攻击者可以使用恶意链接触发自动下载。然后,这些应用程序可以部署勒索软件或使恶意行为者能够远程控制他们的设备。指向数据窃取表单的链接攻击者可以使用文本消息以及欺骗性网络钓鱼技术来诱骗用户单击恶意链接。然后,该活动可以将他们重定向到旨在窃取他们的个人信息的网站。提示用户联系技术支持:使用这种类型的攻击策略,恶意行为者会发送一条短信,提示收件人联系电话号码以获得客户支持。诈骗者随后会伪装成合法的客户服务代表,并试图诱骗受害者交出他们的个人资料。如何防御短信钓鱼用户可以通过屏蔽/拦截来自未知电话号码的短信内容来预防钓鱼事件。6.总结综上所述,企业可以了解一些常见的钓鱼攻击类型。即便如此,这并不意味着它是100%安全的。网络钓鱼随着网络的发展而不断发展,呈现出新的形式和技术。组织必须进行持续的安全意识培训,这样他们的员工和管理人员才能掌握网络钓鱼的发展。这与自动化安全方法齐头并进,以跟上当今网络钓鱼趋势的步伐,并构建面向未来的防御所需的策略。
