前言
网络钓鱼是网络威胁行为者广泛使用的一种技术,用于诱使潜在受害者在不知不觉中采取有害行动。这种流行的攻击媒介无疑是最常见的社会工程形式——操纵人们放弃机密信息的艺术——因为网络钓鱼既简单又有效。诈骗者每天发起数以千计的网络钓鱼攻击,而且通常会成功。
什么是网络钓鱼?
在 1990 年代,黑客通常被称为 Phreaks。在那些日子里,黑客行为被称为 phreaking。因此,使用诱饵(或多或少看起来很真实的电子邮件)来捕获或欺骗毫无戒心的计算机用户的行为采用了 phreaking 中的“ph”来代替钓鱼中的“f”,并成为现代网络钓鱼。
如今,网络钓鱼攻击中最常见的欺诈通信类型仍然是电子邮件,但其他通信形式(例如 SMS 文本消息)正变得越来越频繁。威胁实施者使用他们可以想到的任何方式让用户点击非法网页的链接并输入他们的计算机或银行系统登录凭据或下载恶意软件。
在现代网络钓鱼攻击中,威胁行为者使用熟练的社会人际互动来窃取或破坏有关组织或其计算机系统的敏感信息。最近的Egress 2021 Insider Data Breach 调查显示,近四分之三 (73%) 的组织在去年遭受了由网络钓鱼攻击引起的数据泄露。
网络钓鱼诈骗通常是“矛尖”或攻击目标的第一部分。该攻击可能旨在窃取登录凭据,或者旨在诱使用户单击链接,从而在受害者的网络上部署恶意软件负载。一旦组织内的一个或多个用户成为精心策划的网络钓鱼活动的牺牲品,攻击者就会剔除凭据或提供发起全面攻击所需的恶意软件负载。
从网络钓鱼活动开始的攻击类型多种多样。黑客的目标可能是窃取凭据和其他个人身份信息 (PII),然后他们可以在暗网上出售这些信息,下载恶意软件进行勒索软件攻击,或者窃取有价值的信息作为工业或军事间谍活动的一部分。
民族国家和国家支持的高级持续威胁 (APT) 参与者使用网络钓鱼来获取受害者网络的存在以开始特权升级,最终可能严重危害我们国家的关键基础设施或金融机构。
直到几年前,发现网络钓鱼电子邮件通常还很容易。用户只需稍加检查就可以轻松识别出虚假的发件人地址、拼写错误或篡改过的链接 URL。今天的骗子要聪明得多。普通用户几乎无法检测到网络钓鱼电子邮件。
常见的网络钓鱼攻击类型
网络钓鱼对于不良行为者来说已经变得如此有利可图,以至于攻击各种受害者类型的方法已经发生了变化。今天至少有四类网络钓鱼攻击——每类都有特定的受害者类型。
欺骗性网络钓鱼
欺骗性网络钓鱼是迄今为止最为常见的网络钓鱼诈骗类型。通常是向收件人发送电子邮件,诈骗者冒充合法公司,试图窃取人们的个人数据或登录凭据,一旦您授予了相关的权限,黑客便会入侵您的银行账号,盗取您的资金或以您的名义进行消费。
鱼叉式网络钓鱼
与黑客使用广泛网络来吸引尽可能多的潜在受害者的常见网络钓鱼诈骗不同,鱼叉式网络钓鱼攻击更加集中。鱼叉式网络钓鱼窃贼通常针对特定群体的成员。它可能是攻击者瞄准的一家航空航天公司的员工,也可能是目标大学的学生、教职员工或教职员工。
鱼叉式网络钓鱼的成功率远高于普通广播式网络钓鱼,但也需要黑客投入时间和资源进行一些攻击前的研究。他们对目标了解得越多,他们成功的可能性就越大。
当某人收到来自他们认识的名字的电子邮件或短信,并且此人知道有关受害者公司或个人生活的详细信息时,他们更有可能信任电子邮件来源。
例如,如果一名员工收到一封看似真实的电子邮件,来自他们内部的某个人 公司要求他们点击链接并下载文档,如果细节似乎都适合公司的运作方式,他们可能会遵循这些说明。 该公司的网络对手在发起攻击之前需要进行大量研究,但结果很可能会成功
鲸鱼钓鱼
鲸鱼网络钓鱼类似于鱼叉式网络钓鱼,但有一些显着差异。虽然鱼叉式网络钓鱼通常针对某个团体的成员,但鲸鱼网络钓鱼则针对特定的个人——通常是目标组织中的“最大网络钓鱼者”,或者攻击者希望利用的拥有大量财富或权力的个人。
鲸鱼网络钓鱼还需要大量的攻击前研究。攻击者可能会花费数月甚至数年的时间来了解和修饰鲸鱼。无所事事者将从社交媒体和其他公共资源中了解有关其目标的一切信息。有时,犯罪分子会用鱼叉式网络钓鱼较小的标记来获取有关其鲸鱼目标的更多情报。
短信钓鱼
smishing 一词源自 SMS 网络钓鱼。网络钓鱼涉及文本消息而不是电子邮件。受害者通常会收到一条欺骗性的短信,以引诱收件人提供他们的个人或财务信息。诈骗者试图将自己伪装成政府机构、银行或其他公司,以使其索赔合法化。
诈骗者通常会寻找有关受害者的信息,例如帐户凭据、信用卡或借记卡号码和 PIN 码、社会安全号码、出生日期或敏感的健康相关信息。然后,这些信息将用于对受害者实施其他犯罪,例如金融欺诈。
网络钓鱼攻击实例
乌克兰电网网络攻击
乌克兰电网在 2015 年以网络钓鱼开始的攻击中被打断,这被认为是对电网的首次成功网络攻击。
该攻击被认为是由名为 Sandworm 的俄罗斯高级持续威胁组织发起的,它是由鱼叉式网络钓鱼诡计发起的,该诡计将 BlackEnergy 恶意软件的有效载荷倾倒到控制乌克兰电网的 SCADA 系统上。由此产生的分布式拒绝服务 (DDoS) 攻击使乌克兰大部分地区断电约六个小时。袭击发生两个多月后,电网控制中心仍未完全运作。
脸书和谷歌
在有史以来最昂贵的网络钓鱼攻击之一中,立陶宛黑客在 2013 年至 2015 年间向 Facebook 和谷歌发送了一系列伪造發票,这些發票看起来像是来自台湾电子制造商广达电脑。两家公司都定期与广达有业务往来,所以假發票没有出现可疑情况,發票已经支付。
黑客通过鱼叉式网络钓鱼电子邮件将每家公司的特定员工作为目标,以访问他们的计算机并收集发起攻击所需的情报。总的来说,这些科技巨头向黑客支付了超过 1 亿美元。与之不同的是,48 岁的黑客 Evaldas Rimasauskas 被抓获,部分资金被追回。
克里兰银行
据 2016 年报道,这次鲸鱼网络钓鱼攻击的目标是比利时 Crelan 银行的一名高级管理人员,并指示立即向攻击者控制的账户发送约 7580 万美元。细节不多,但受害人答应了欺诈要求,钱也丢了。
这种鲸鱼网络钓鱼或商业电子邮件泄露 (BEC) 骗局有时被称为 CEO 欺诈,通常针对可能没有足够控制措施来防止此类欺诈的中小型公司。一家名为 FACC 的奥地利制造公司也遭到类似袭击,损失近 6000 万美元。
加州大学圣地亚哥分校
2021 年 7 月,加州大学圣地亚哥分校健康中心披露了攻击者在一次鱼叉式网络钓鱼攻击中劫持员工电子邮件帐户后发生的数据泄露事件。学校的数据泄露通知页面称,未经授权的访问很可能发生在 2020 年 12 月 2 日至 2021 年 4 月 8 日之间。
在最近的这起事件中,仍然未知的攻击者可能已经访问或获取了患者数据,包括全名、实际地址、电子邮件地址、出生日期、社会安全号码、政府 ID、用户名和密码。
也有可能暴露了与医疗保健相关的信息,包括化验结果、医疗诊断记录以及处方和治疗信息等。
如何避免网络钓鱼攻击
网络钓鱼电子邮件旨在欺骗潜在受害者可能熟悉的公司。在低预算、广泛传播的骗局中,攻击者通常会创建一封看似来自大银行或其他机构的电子邮件,然后将电子邮件发送到数十万个电子邮件地址。只有一部分收件人是被欺骗公司的客户,但黑客玩数字游戏不需要任何成本。他们知道,即使只有一小部分收件人是客户,而且这些人中只有一小部分落入了骗局,但他们仍然名列前茅。
常见的网络钓鱼伎俩包括在电子邮件中声明他们注意到了一些可疑活动或登录尝试——告诉潜在受害者点击电子邮件中的链接来纠正这种情况。大多数这些低预算的骗局很容易被发现。会有与企业电子邮件不一致的拼写错误或语言。发送电子邮件的地址通常可以识别为不属于声称发送电子邮件的公司。
低预算的群发电子邮件诈骗通常针对老年人,他们可能不知道如何检测表明网络钓鱼诈骗的明显线索。一个易于检测的发件人电子邮件地址示例是 BankofAmerica@gmail.com。对于熟悉电子邮件地址格式和商业电子邮件惯例的任何人来说,很明显美国银行不会使用 Gmail 帐户来接收客户电子邮件
避免网络钓鱼诈骗的主要规则是永远不要单击电子邮件中的链接,除非您确定该电子邮件来自您信任的人。大多数公司不会要求他们的客户点击电子邮件中的链接。如果一家公司要求您在其网站上与他们互动,请直接在您的浏览器中输入该公司的已知 URL,而不是使用电子邮件中的链接。
电子邮件垃圾邮件过滤器是一种有效但并非万无一失的工具,可用于抵御低预算的网络钓鱼攻击。
与您的电子邮件平台集成的垃圾邮件过滤解决方案使用一组规则来确定您传入的哪些邮件是垃圾邮件,哪些是合法的。垃圾邮件过滤器的几种类型包括内容过滤器、标题过滤器、黑名单过滤器、权限过滤器和质询-响应过滤器。每个都对您收到的电子邮件应用一组不同的规则,并且有助于检测网络钓鱼诈骗。
网络威胁实施者一直在寻找新的和创新的方法来绕过垃圾邮件过滤器来欺骗电子邮件或 SMS 用户,使他们能够窃取敏感信息或提供破坏性的有效负载。除了垃圾邮件过滤器之外,用户还应该采取一些措施来避免成为网络钓鱼攻击的受害者。
在包括手机在内的所有数字设备上使用安全防病毒软件和其他适当的安全软件,并应用自动更新设置以确保您获得最新的保护。
对于包含敏感信息的所有帐户,如果可用,请使用多因素身份验证。这种额外级别的保护可确保即使您成为凭据剔除网络钓鱼骗局的受害者,恶意行为者也无法访问您的帐户。
始终备份您的数据。网络钓鱼是勒索软件攻击的常见前奏。您可以通过维护当前备份来减轻在勒索软件攻击中对数据进行加密的不利影响。
总结
网络钓鱼只是对许多古老的伎俩的现代转折,这些伎俩诱使人们放弃可用于对付他们的信息。从窃听到邮件篡改,犯罪分子一直试图窃取信息,以此作为发动其他攻击的先兆。
每个人都必须肩负起保护自己免受欺骗和欺骗的责任。有一些软件工具,例如垃圾邮件过滤器和防病毒软件,可以提供帮助,但归根结底,我们都必须始终警惕,甚至对电子邮件和 SMS 通信保持一点怀疑。
