進(jìn)入 2023 年，網(wǎng)絡(luò)釣魚仍然像往年一樣活躍在互聯(lián)網(wǎng)的各個角落。2022 年 Verizon 數(shù)據(jù)泄露調(diào)查報告指出，去年 75% 的社會工程攻擊涉及網(wǎng)絡(luò)釣魚，僅去年一年就有超過 33 萬個賬戶被網(wǎng)絡(luò)釣魚，網(wǎng)絡(luò)釣魚占整體社會工程攻擊的 41%。

不能將所有責(zé)任歸咎于員工，因為薄弱的安全意識建設(shè)及宣教是大部分漏洞利用的原因。本文收集整理了5種最常見的網(wǎng)絡(luò)釣魚攻擊類型，并給出防護(hù)建議。

1、欺騙性網(wǎng)絡(luò)釣魚

欺騙性網(wǎng)絡(luò)釣魚是最常見的網(wǎng)絡(luò)釣魚詐騙類型。在這種策略中，欺詐者冒充合法公司來竊取人們的個人數(shù)據(jù)或登錄憑據(jù)。這些電子郵件通常使用威脅和緊迫感來嚇唬用戶做攻擊者想要做的事情。

欺騙性網(wǎng)絡(luò)釣魚常見的方式

合法鏈接 

許多攻擊者試圖通過將合法鏈接合并到其欺騙性網(wǎng)絡(luò)釣魚電子郵件中來逃避電子郵件過濾器的檢測。

混合惡意和良性代碼

負(fù)責(zé)創(chuàng)建網(wǎng)絡(luò)釣魚登錄頁的人員通常將惡意和良性代碼混合在一起以欺騙 Exchange 聯(lián)機(jī)保護(hù) （EOP）。

重定向和縮短鏈接 

攻擊者不想向受害者發(fā)出任何危險信號。因此，他們使用縮短的 URL 來欺騙安全郵件網(wǎng)關(guān) （SEG）。

修改品牌徽標(biāo)

某些電子郵件過濾器可以發(fā)現(xiàn)攻擊者何時竊取組織的徽標(biāo)并將其合并到他們的攻擊電子郵件或網(wǎng)絡(luò)釣魚登錄頁面上。他們通過尋找徽標(biāo)的HTML屬性來做到這一點(diǎn)。為了欺騙這些檢測工具，攻擊者會更改徽標(biāo)的 HTML 屬性，例如顏色等。

最少的電子郵件內(nèi)容

攻擊者試圖通過在攻擊電子郵件中包含最少的內(nèi)容來逃避檢測。例如，他們可能會選擇通過圖像而不是文本來執(zhí)行此操作。

如何防御欺騙性網(wǎng)絡(luò)釣魚

欺騙性網(wǎng)絡(luò)釣魚的成功取決于攻擊電子郵件在多大程度上類似于欺騙公司的官方信件。員工應(yīng)仔細(xì)檢查所有URL，以查看它們是否重定向到未知和/或可疑的網(wǎng)站。還應(yīng)該注意通用稱呼、語句錯誤和書寫錯誤。

2、魚叉式網(wǎng)絡(luò)釣魚

在魚叉式網(wǎng)絡(luò)釣魚中，攻擊者使用目標(biāo)的姓名、職位、公司、工作電話號碼和其他信息自定義他們的攻擊電子郵件，以誘騙收件人相信他們與發(fā)件人有聯(lián)系。它們的目標(biāo)與欺騙性網(wǎng)絡(luò)釣魚相同：讓受害者點(diǎn)擊惡意 URL 或電子郵件附件，以便交出個人數(shù)據(jù)。

魚叉式網(wǎng)絡(luò)釣魚常見的方式

在云服務(wù)上存儲惡意文檔

CSO報告稱，攻擊者越來越多地將惡意文檔存儲在云服務(wù)上。一般情況下，IT 不太可能阻止這些服務(wù)。

泄露令牌

CSO還指出，犯罪分子正試圖破壞API令牌或會話令牌。在這方面的成功將使他們能夠竊取對電子郵件賬戶或其他資源的訪問權(quán)限。

收集外出通知

攻擊者需要大量情報來發(fā)送令人信服的魚叉式網(wǎng)絡(luò)釣魚活動。他們可以做到這一點(diǎn)的一種方法是向員工發(fā)送電子郵件并收集外出通知，以了解內(nèi)部員工使用的電子郵件地址的格式。

探索社交媒體

攻擊者需要了解誰在目標(biāo)公司工作。他們可以通過使用社交媒體來調(diào)查組織的結(jié)構(gòu)，并決定他們想挑出誰進(jìn)行有針對性的攻擊。

人工智能

人工智能可以做到抓取社交媒體網(wǎng)站的個人數(shù)據(jù)，使黑客更容易定制電子郵件和欺詐性通信。

如何防御魚叉式網(wǎng)絡(luò)釣魚

為了防止此類騙局，企業(yè)應(yīng)持續(xù)進(jìn)行員工安全意識培訓(xùn)，其中包括阻止員工在社交媒體上發(fā)布敏感的個人或公司信息。公司還應(yīng)該投資魚叉式網(wǎng)絡(luò)釣魚預(yù)防解決方案，以分析入站電子郵件中的已知惡意鏈接/電子郵件附件。

3、捕鯨

“捕鯨”一般是指針對企業(yè)高管的網(wǎng)絡(luò)釣魚攻擊。

作為商業(yè)電子郵件泄露 （BEC） 騙局的第二階段，捕鯨是指攻擊者濫用 CEO 或其他高級管理人員的受感染電子郵件賬戶，授權(quán)欺詐性電匯到他們選擇的金融機(jī)構(gòu)。

捕鯨常見的方式

滲透網(wǎng)絡(luò)

被盜用高管的賬戶比欺騙性電子郵件賬戶更有效。攻擊者因此可以使用惡意軟件來滲透目標(biāo)的網(wǎng)絡(luò)。

跟進(jìn)電話

攻擊者跟進(jìn)捕鯨電子郵件，并打電話確認(rèn)電子郵件請求。

追蹤供應(yīng)鏈

攻擊者者使用目標(biāo)供應(yīng)商和供應(yīng)商的信息使他們的捕鯨電子郵件看起來像來自可信賴合作伙伴。

如何抵御捕鯨

捕鯨攻擊之所以有效，是因為高管通常不會與員工一起參加安全意識培訓(xùn)。企業(yè)應(yīng)強(qiáng)制要求所有公司人員（包括高管）持續(xù)參加安全意識培訓(xùn)。

企業(yè)還應(yīng)考慮在其財務(wù)授權(quán)流程中注入多因素身份驗證渠道，以便沒有人可以單獨(dú)通過電子郵件授權(quán)付款。

4、通訊釣魚

到目前為止，我們已經(jīng)討論了大部分依賴于電子郵件的網(wǎng)絡(luò)釣魚攻擊。但攻擊者有時會轉(zhuǎn)向其他媒介進(jìn)行攻擊。

例如通訊釣魚這種類型的攻擊無需發(fā)送電子郵件，而是撥打電話。攻擊者可以通過設(shè)置互聯(lián)網(wǎng)協(xié)議語音（VoIP）服務(wù)器來模仿各種實(shí)體來竊取敏感數(shù)據(jù)和/或資金，從而實(shí)施網(wǎng)絡(luò)釣魚活動。

通訊釣魚常見的方式

技術(shù)術(shù)語

如果攻擊者針對公司的員工，他們可能會通過使用技術(shù)術(shù)語來冒充內(nèi)部技術(shù)人員誘導(dǎo)員工交出他們的信息。

ID欺騙

攻擊者偽裝他們的電話號碼，使他們的呼叫看起來像是來自目標(biāo)區(qū)號中的合法電話號碼。

如何防御通訊釣魚

為了防止通訊釣魚攻擊，用戶應(yīng)避免接聽來自未知電話號碼的呼叫，切勿通過電話泄露個人信息，并使用來電顯示應(yīng)用程序。

5、短信釣魚

通訊釣魚并不是使用手機(jī)實(shí)施的唯一網(wǎng)絡(luò)釣魚類型。例如短信詐騙。此方法利用惡意短信誘騙用戶單擊惡意鏈接或提交個人信息。

短信釣魚常見的方式

惡意應(yīng)用下載

攻擊者可以使用惡意鏈接觸發(fā)自動下載。然后，這些應(yīng)用程序可以部署勒索軟件或使惡意行為者能夠遠(yuǎn)程控制他們的設(shè)備。

鏈接到數(shù)據(jù)竊取表單

攻擊者可以利用短信以及欺騙性網(wǎng)絡(luò)釣魚技術(shù)來誘騙用戶單擊惡意鏈接。然后，該活動可以將他們重定向到旨在竊取其個人信息的網(wǎng)站。

提示用戶聯(lián)系技術(shù)支持：使用這種類型的攻擊策略，惡意行為者會發(fā)送短信，提示收件人聯(lián)系電話號碼以獲得客戶支持。然后，詐騙者將偽裝成合法的客戶服務(wù)代表，并試圖誘騙受害者交出他們的個人數(shù)據(jù)。

如何防御短信釣魚

用戶可以通過屏蔽/攔截未知電話號碼的短信內(nèi)容來阻止釣魚事件發(fā)生。

6、總結(jié)

綜上所述，企業(yè)可以了解一些較為常見的網(wǎng)絡(luò)釣魚攻擊類型。即便如此，也并不意味著百分百安全。網(wǎng)絡(luò)釣魚隨著網(wǎng)絡(luò)也在不斷發(fā)展，同時采用新的形式和技術(shù)。所以企業(yè)必須持續(xù)進(jìn)行安全意識培訓(xùn)，以便其員工和高管能夠掌握網(wǎng)絡(luò)釣魚的發(fā)展。這與自動化安全方法齊頭并進(jìn)，可與當(dāng)今的網(wǎng)絡(luò)釣魚趨勢保持同步，并構(gòu)建面向未來的防御所需的策略。