用心做分享,只为给您最好的学习教程
如果您觉得文章不错,欢迎持续学习
有许多鲜为人知的网络钓鱼技术常被忽视或低估,但攻击者却越来越多地加以运用。
电子邮件网络钓鱼是目前最为常见的一种网络钓鱼形式。然而,还有不少鲜为人知的网络钓鱼手段,它们虽常被人忽略或轻视,可攻击者却日益频繁地使用。下面我们来简要看看其中一些主要的类型:
搜索引擎优化投毒
每个月都会有成千上万的新网络钓鱼网站出现,其中许多都针对搜索引擎优化(SEO)进行了设置,以便在搜索结果中能被潜在受害者轻易发现。比如,若有人搜索 “下载 Photoshop” 或 “PayPal 账户”,很可能就会碰到一个伪装得很像的假网站,诱使用户分享数据或访问恶意内容。这种技术还有一种鲜为人知的变体,那就是劫持谷歌企业列表。诈骗者会窃取谷歌上合法企业的联系方式,让毫无防备的受害者误以为自己是在与授权代表交流而进行联系。
付费广告诈骗
付费广告诈骗是黑客和诈骗者常用的流行技术。攻击者利用展示广告、点击付费广告和社交媒体广告来推广他们的广告并锁定用户,诱导受害者访问恶意网站、下载恶意应用程序或在不经意间分享凭据。一些不法分子甚至会在这些广告中嵌入恶意软件或木马(即恶意广告)来对用户进行网络钓鱼。
社交媒体网络钓鱼
威胁行为者在热门社交媒体平台上有多种针对受害者的途径。他们可以创建虚假账号,模仿可信联系人、名人或政客,期望引诱用户参与其恶意内容或消息互动。他们能在合法帖子下发表评论,怂恿人们点击恶意链接;还可以推出游戏、博彩应用、调查测验、占星算命应用、金融投资应用等,以此从用户那里收集私人敏感信息。他们能发送消息引导用户登录恶意网站,也可以制作深度伪造内容来传播虚假信息、制造混乱。
二维码网络钓鱼
所谓的 “二维码网络钓鱼”,即对二维码加以利用。诈骗者已经找到了利用这种非接触式技术的新奇办法。攻击者会在海报、菜单、传单、社交媒体帖子、假存款单、活动邀请函、停车计费器等地方贴上恶意二维码,诱使用户进行扫描或进行在线支付。研究人员发现,在过去一年里,二维码网络钓鱼攻击的数量增长了 587%。
移动应用网络钓鱼
移动应用网络钓鱼是一种通过移动应用程序来攻击受害者的类型。通常,诈骗者会在移动应用商店分发或上传恶意应用程序,等待受害者下载并使用。这些应用可能看起来很正规,也可能是窃取个人数据或财务信息的仿冒应用,甚至可能被用于非法监视。研究人员最近在谷歌应用商店发现了 90 多款恶意应用,其下载量超过了 550 万次。
回拨网络钓鱼
从名字就可以看出,回拨网络钓鱼是一种社会工程技术,攻击者诱导用户回拨到欺诈性的呼叫中心或服务台。虽然典型的回拨诈骗常涉及电子邮件,但也有许多变体,攻击者会用各种狡猾手段让人们回拨。比如,攻击者利用谷歌表单绕过网络钓鱼过滤器向受害者发送钓鱼信息。当受害者打开这些看似无害的表单时,就会看到一个要求拨打的电话号码。诈骗者还会给受害者发送短信或留下语音邮件,鼓励他们回拨。
基于云的网络钓鱼攻击
随着组织越来越依赖基于云的存储和服务,网络犯罪分子也开始利用云来实施网络钓鱼和社会工程攻击。有很多基于云的攻击实例,比如攻击者向微软 Teams 和 SharePoint 上的用户发送网络钓鱼消息,利用谷歌绘图诱使用户点击恶意链接;他们利用亚马逊和 IBM 等云存储服务托管包含垃圾邮件网址的网站,并通过短信进行分发,还滥用微软 Sway 来提供网络钓鱼二维码等等。
内容注入攻击
软件、设备、应用程序和网站通常都存在漏洞。攻击者利用这些漏洞将恶意内容注入代码或内容中,操纵用户分享敏感数据、访问恶意网站、发起回拨请求或下载恶意软件。例如,恶意行为者利用一个有漏洞的网站更新 “联系我们” 页面的超链接。访问者填写完表单后,就会看到一条消息和后续操作,其中包含指向有害下载的链接或显示一个由黑客控制的电话号码。同样,攻击者利用易受攻击的设备(如物联网设备)的消息和通知功能向用户发送网络钓鱼消息。
攻击者进行社会工程并针对用户的程度令人担忧。随着他们将人工智能工具纳入自己的手段库,这些攻击预计会变得更加激烈和复杂。只有通过持续提供安全培训并实施定期的意识提升计划,组织才能培养出抵御这些社会工程诈骗所需的抵抗力,确保员工保持警惕并能够保护敏感信息、金融资产和企业声誉。
本文仅作技术分享 切勿用于非法途径
关注【黑客联盟】带你走进神秘的黑客世界
