網絡安全知識:什么是網絡釣魚?
網絡釣魚詐騙誘騙用戶泄露敏感數據、下載惡意軟件并使自己或組織面臨網絡犯罪。
什么是網絡釣魚?
網絡釣魚攻擊是欺詐性電子郵件、短信、電話或網站,旨在誘騙用戶下載惡意軟件、共享敏感信息或個人數據(例如社會保障卡號、信用卡號、銀行帳號、登錄憑據)或采取其他操作使他們自己或他們的組織面臨網絡犯罪。
成功的網絡釣魚攻擊通常會導致身份盜竊、信用卡欺詐、勒索軟件攻擊、數據泄露以及個人和企業的巨大財務損失。
網絡釣魚是最常見的社會工程類型,是一種欺騙、施壓或操縱人們向錯誤的人發送信息或資產的行為。社會工程攻擊依靠人為錯誤和壓力策略來獲得成功。攻擊者通常偽裝成受害者信任的個人或組織(例如同事、老板、與受害者或受害者的雇主有業務往來的公司),并制造一種緊迫感,促使受害者輕率行事。黑客和欺詐者使用這些策略是因為欺騙人們比侵入計算機或網絡更容易且成本更低。
圖片
據 FBI 稱,網絡釣魚電子郵件是黑客用來向個人和組織發送勒索軟件的最流行的攻擊方法或媒介。IBM 的《2022 年數據泄露成本》發現,網絡釣魚是數據泄露的第二大常見原因(去年排名第四),而網絡釣魚造成的數據泄露成本最高,平均給受害者造成 491 萬美元的損失。
網絡釣魚攻擊的類型
批量網絡釣魚電子郵件
批量電子郵件網絡釣魚是最常見的網絡釣魚攻擊類型。詐騙者會創建一封看似來自大型、知名合法企業或組織(國家或全球銀行、大型在線零售商、流行軟件應用程序或應用程序的制造商)的電子郵件,并將該消息發送給數百萬用戶。收件人。批量電子郵件網絡釣魚是一種數字游戲:冒充的發件人規模越大或越受歡迎,可能是客戶、訂閱者或會員的收件人就越多。
網絡犯罪分子不遺余力地使網絡釣魚電子郵件看起來合法。它們通常在電子郵件中包含冒充發件人的徽標,并屏蔽“發件人”電子郵件地址以包含冒充發件人的域名;有些甚至會欺騙發件人的域名(例如,使用“rnicrosoft.com”而不是“microsoft.com”),以便一眼看上去是合法的。
主題行涉及冒充的發件人可能會可信地解決的主題,并吸引強烈的情緒(恐懼、貪婪、好奇、緊迫感或時間壓力)以引起收件人的注意。典型的主題行包括“請更新您的用戶個人資料”、“您的訂單有問題”、“您的結賬文件已準備好簽署”、您的發票已附上。
電子郵件正文指示收件人采取看似完全合理且與主題一致的操作,但會導致收件人泄露敏感信息(社會保險號、銀行帳號、信用卡號、登錄憑據)或下載感染收件人設備或網絡的文件。
例如,收件人可能會被定向到“單擊此處更新您的個人資料”,但底層超鏈接會將他們帶到一個虛假網站,該網站會誘騙他們在個人資料更新過程中輸入實際的登錄憑據。或者,他們可能被告知打開看似合法的附件(例如“invoice20.xlsx”),但該附件會將惡意軟件或惡意代碼傳送到收件人的設備或網絡。
魚叉式網絡釣魚
魚叉式網絡釣魚是一種針對特定個人的網絡釣魚攻擊,通常是有權訪問敏感數據或網絡資源的人,或者詐騙者可以利用特殊權限進行欺詐或惡意目的的人。
魚叉式網絡釣魚者研究目標,收集所需的信息,以冒充目標真正信任的個人或實體(朋友、老板、同事、同事、可信供應商或金融機構)或冒充目標個人。社交媒體和社交網站(人們公開祝賀同事、支持同事和供應商,并傾向于過度分享會議、活動或旅行計劃)已成為魚叉式網絡釣魚研究的豐富信息來源。
有了這些信息,魚叉式網絡釣魚者就可以向目標發送一條包含特定個人詳細信息或財務信息以及可信請求的消息,例如“我知道您今晚要離開去度假”,但是您可以支付此發票嗎(或轉賬 USDXXX) .XX 到此帳戶)在今天營業結束之前?
針對 C 級高管、富人或其他高價值目標的魚叉式網絡釣魚攻擊通常稱為鯨魚網絡釣魚或捕鯨攻擊。
商業電子郵件泄露 (BEC)
BEC是一類魚叉式網絡釣魚攻擊,試圖從公司或機構竊取大量資金或極其有價值的信息,例如商業秘密、客戶數據、財務信息。
BEC 攻擊可以采取多種不同的形式。
最常見的兩個包括:
CEO 欺詐:詐騙者冒充 C 級高管的電子郵件帳戶,或直接侵入該帳戶,并向較低級別的員工發送消息,指示他們將資金轉移到欺詐帳戶、從欺詐供應商處進行購買或發送電子郵件文件發送給未經授權的一方。
電子郵件賬戶泄露 (EAC):詐騙者可以訪問較低級別員工(例如財務、銷售、研發經理)的電子郵件帳戶,并使用它向供應商發送欺詐性發票,指示其他員工進行欺詐付款或存款,或請求訪問機密數據。
作為這些攻擊的一部分,詐騙者通常通過向高管或員工發送魚叉式網絡釣魚消息,誘騙他們泄露電子郵件帳戶憑據(用戶名和密碼)來訪問公司電子郵件帳戶。例如,諸如“您的密碼即將過期”之類的消息。單擊此鏈接更新您的帳戶可能會隱藏指向旨在竊取帳戶信息的虛假網站的惡意鏈接。
無論使用何種策略,成功的 BEC 攻擊都是成本最高的網絡攻擊之一。在 BEC 的一個最著名的例子中,黑客冒充首席執行官說服公司財務部門將 4200 萬歐元轉入欺詐性銀行賬戶。
圖片
其他網絡釣魚技術和策略
短信網絡釣魚或短信釣魚是使用移動或智能手機短信進行的網絡釣魚。最有效的詐騙方案是與上下文相關的,即與智能手機帳戶管理或應用程序相關。例如,接收者可能會收到一條文本消息,提供禮物作為“感謝”支付無線賬單的信息,或者要求他們更新信用卡信息以便繼續使用流媒體服務。
語音網絡釣魚或語音釣魚是通過電話進行的網絡釣魚。借助 IP 語音 (VoIP) 技術,詐騙者每天可以撥打數百萬個自動釣魚電話;他們經常使用來電顯示欺騙來使他們的電話看起來像是來自合法組織或本地電話號碼。電話釣魚電話通常會通過信用卡處理問題、逾期付款或國稅局麻煩等警告來嚇唬收件人。響應的呼叫者最終會向網絡犯罪分子的工作人員提供敏感數據;有些人甚至最終將計算機的遠程控制權授予電話另一端的詐騙者。
社交媒體網絡釣魚 利用社交媒體平臺的各種功能對會員的敏感信息進行網絡釣魚。詐騙者使用平臺自己的消息傳遞功能(例如Facebook Messenger、LinkedIn 消息傳遞或 InMail、Twitter DM),其方式與他們使用常規電子郵件和短信的方式大致相同。他們還向用戶發送看似來自社交網站的網絡釣魚電子郵件,要求收件人更新登錄憑據或付款信息。對于在多個社交媒體網站上使用相同登錄憑據的受害者來說,這些攻擊的代價尤其高昂,這是一種非常常見的“最糟糕的做法”。
應用程序或應用程序內消息傳遞。流行的移動設備應用程序和基于網絡(軟件即服務或 SaaS)應用程序定期向用戶發送電子郵件。因此,這些用戶很容易發起網絡釣魚活動,欺騙來自應用程序或軟件供應商的電子郵件。再次玩數字游戲,詐騙者通常會欺騙來自最流行的應用程序和 Web 應用程序(例如PayPal、Microsoft Office 365或 Teams)的電子郵件,以獲取最大的網絡釣魚收益。
防范網絡釣魚詐騙
安全意識培訓和最佳實踐
鼓勵組織教用戶如何識別網絡釣魚詐騙,并制定處理任何可疑電子郵件和短信的最佳實踐。例如,可以教會用戶識別網絡釣魚電子郵件的這些特征和其他特征:
- 請求提供敏感信息或個人信息,或者更新個人資料或付款信息
- 請求匯款或轉移資金
- 收件人未請求或期望的文件附件
- 緊迫感,無論是公然的(“你的賬戶今天將被關閉……”)還是微妙的(例如,同事要求立即支付發票)威脅入獄或其他不切實際的后果
- 威脅入獄或其他不切實際的后果
- 拼寫或語法錯誤
- 發件人地址不一致或被欺騙
- 使用 Bit.Ly 或其他鏈接縮短服務縮短鏈接
- 用于代替文本的文本圖像(在消息中,或在消息中鏈接到的網頁上)
這只是部分列表;不幸的是,黑客總是在設計新的網絡釣魚技術來更好地避免被發現。反網絡釣魚工作組的季度網絡釣魚趨勢活動報告等出版物可以幫助組織跟上步伐。
組織還可以鼓勵或實施最佳實踐,減輕員工成為網絡釣魚偵探的壓力。例如,組織可以建立并傳達明確的政策 - 例如,上級或同事永遠不會通過電子郵件發送轉移資金的請求。他們可以要求員工使用郵件中提供的方式以外的方式聯系發件人或直接訪問發件人的合法網站,以驗證對個人或敏感信息的任何請求。他們可以堅持要求員工向 IT 或安全團隊報告網絡釣魚嘗試和可疑電子郵件。
打擊網絡釣魚的安全技術
盡管有最好的用戶培訓和嚴格的最佳實踐,用戶仍然會犯錯誤。幸運的是,一些成熟的和新興的端點和網絡安全技術可以幫助安全團隊在培訓和策略未完成的地方繼續打擊網絡釣魚。
- 垃圾郵件過濾器和電子郵件安全軟件使用現有網絡釣魚詐騙和機器學習算法的數據來識別可疑的網絡釣魚電子郵件(和其他垃圾郵件),然后將它們移動到單獨的文件夾并禁用其中包含的任何鏈接。
- 防病毒和反惡意軟件軟件可檢測并消除網絡釣魚電子郵件中的惡意文件或代碼。
- 除了用戶名和密碼之外,多重身份驗證還需要至少一個登錄憑據,例如發送到用戶手機的一次性代碼。通過提供針對網絡釣魚詐騙或成功泄露密碼的其他攻擊的額外最后一道防線,多因素身份驗證可以破壞魚叉式網絡釣魚攻擊并防止 BEC。
- Web 過濾器可防止用戶訪問已知的惡意網站(“黑名單”網站),并在用戶訪問可疑的惡意或虛假網站時顯示警報。
企業網絡安全解決方案——例如安全編排、自動化和響應(SOAR)、 安全信息和事件管理(SIEM)、端點檢測和響應(EDR)、網絡檢測和響應(NDR)以及擴展檢測和響應(XDR)——將上述技術和其他技術具有不斷更新的威脅情報和自動事件響應能力。這些解決方案可以幫助組織在網絡釣魚詐騙到達用戶之前阻止它們,并限制突破傳統端點或網絡防御的網絡釣魚攻擊的影響。
