網(wǎng)絡釣魚很“任性” 用戶屢屢中招卻為何
如今,垃圾郵件早已為人所熟知。這種郵件往往給某種產品做廣告,其發(fā)送者利用從各種源頭獲得的郵件地址清單,發(fā)送大量的垃圾郵件。它一般都沒有特定的目標,發(fā)送者依靠接收者的絕對數(shù)量為其提供收入。
垃圾郵件成為一種有利可圖的業(yè)務方案,但它一般并無惡意,且其內容一般并不涉及到惡意軟件或病毒。
而網(wǎng)絡釣魚實際上是一種特殊形式的社交工程。網(wǎng)絡釣魚者一般不會盲目地將成千上萬的郵件發(fā)送給隨機用戶,而是往往有著具體目標。釣魚一般是通過電子郵件或惡意網(wǎng)站來發(fā)起的,其意圖是通過扮演某個用戶已經(jīng)認識或信任的人來獲得用戶信任。其獲取用戶信任的手段是使用用戶已經(jīng)認識的人的郵件地址或姓名,或是使用有名望的機構的名稱來取得用戶的信任。其扮演的機構可包括銀行、電子商務網(wǎng)站(如京東),或是其它公司或企業(yè)。“這些機構”的郵件消息可能要求用戶的賬戶信息去驗證其身份,或者可能提示用戶:你的賬戶或貨物發(fā)生了問題。釣魚攻擊也可以由即時消息通信、文本通信、打電話等來發(fā)起,但其基本伎倆卻是類似的。
釣魚攻擊還可以利用慈善機構或企業(yè)的名稱或聲譽,甚至可以利用當前發(fā)生的事件(如埃博拉病毒的暴發(fā))、災難(如地震、洪水泛濫)等。
釣魚郵件或網(wǎng)站往往利用惡意軟件、病毒或其它惡意代碼來破壞用戶的計算機,并獲取關于用戶的進一步的信息。其發(fā)出的消息可能指出用戶的名字,看起來就如同來自親朋、同事,或是來自企業(yè)正在合作的伙伴。換句話說,這類郵件可能在多個方面看都是合法、合情、合理的。
雖然今天釣魚攻擊的基本概念并沒有什么變化,但是,其實施和利用漏洞的手段已經(jīng)發(fā)生了變化。在2014年下半年以來,一種新型的攻擊開始利用常見的釣魚技術,并部署銀行惡意軟件。這種釣魚郵件的目的是欺騙接收者打開附件中的PDF文件(如標題為“未付款發(fā)票”的文件)。
這種攻擊的有效手段為銀行惡意軟件,它利用的是一個新的Adobe漏洞。雖然此漏洞并不是零日漏洞,但補丁的部署和更新往往姍姍來遲。攻擊者就是利用這種延遲,部署其釣魚機制,并耐心等待,在發(fā)現(xiàn)新漏洞時,就可以快速發(fā)動攻擊。
還有另一種形式的釣魚威脅也值得一提,因為它依賴的是一種不同類型的東西,即欺詐軟件。這種惡意軟件不會竊取或檢索用戶的個人信息(姓名、銀行信息憑證等等),這種惡意軟件可以加密受感染的計算機上的文件,并要求用戶付款。
用戶為何屢屢中招
釣魚攻擊早已橫行多年,而且其伎倆具有相當?shù)倪B續(xù)性,但用戶仍屢屢中招。為什么?三個主要的因素可概括如下:
信任:IT領域之外的人們,特別是IT安全領域之外的人更容易相信別人。如果這些用戶收到了一份電子郵件消息,告訴其信用卡信息遭到泄露,或是忘記了付款,這些用戶就有輕信的傾向。如果用戶收到了某個認識的人的郵件,就很容易相信。
恐懼:為什么說恐懼是這類釣魚攻擊成功的因素?信用卡信息遭到泄露的新聞屢屢見諸各種媒體,還有一些大型企業(yè)遭到黑客攻擊,成千上萬的客戶記錄被泄露。人們一般都擔心自己會有財務損失,或者其信用受到負面影響。釣魚郵件就是利用人們的這種心理,要求用戶快速做出響應。
缺乏認識:教育一直是信息安全的首要工作。多年以來,安全專家們都知道人員是防御陣線中的最薄弱環(huán)節(jié)。在網(wǎng)絡釣魚問題上,尤其如此。如果不理解這一點,勢必會出問題。許多人至今都不理解與使用互聯(lián)網(wǎng)及其資源有關的各種風險。電子郵件及其附件、網(wǎng)站、文件下載等每天都有可能給員工和企業(yè)帶來各種風險。
