當(dāng)提到網(wǎng)絡(luò)釣魚(yú)時(shí)，大多數(shù)人首先想到的是電子郵件釣魚(yú)。然而，隨著攻擊者手段的不斷升級(jí)，網(wǎng)絡(luò)釣魚(yú)技術(shù)正日趨多樣化，其中一些相對(duì)鮮為人知但卻日益猖獗的攻擊方式正對(duì)用戶構(gòu)成嚴(yán)峻威脅。以下是Knowbe4創(chuàng)始人Stu Sjouwerman分享的八種隱蔽而又流行的釣魚(yú)攻擊手段：

1.SEO中毒攻擊

每月都有成千上萬(wàn)的新釣魚(yú)網(wǎng)站涌現(xiàn)，攻擊者利用搜索引擎優(yōu)化（SEO）技術(shù)，使這些惡意網(wǎng)站能夠輕松出現(xiàn)在搜索結(jié)果中。例如，當(dāng)用戶搜索“下載Photoshop”或“PayPal賬戶”時(shí)，可能會(huì)遇到與合法網(wǎng)站極為相似的偽裝頁(yè)面，誘使用戶提供個(gè)人信息或點(diǎn)擊惡意鏈接。此外，攻擊者還會(huì)劫持搜索引擎的企業(yè)列表，通過(guò)篡改聯(lián)系信息，將用戶引導(dǎo)至偽造的“官方”頁(yè)面，從而進(jìn)一步欺騙受害者。

2.付費(fèi)廣告騙局

網(wǎng)絡(luò)犯罪分子越來(lái)越多地利用付費(fèi)廣告作為釣魚(yú)攻擊的載體。他們通過(guò)展示廣告、按點(diǎn)擊付費(fèi)廣告或社交媒體廣告，將用戶引導(dǎo)至惡意網(wǎng)站，誘騙他們下載惡意應(yīng)用或泄露個(gè)人信息。一些攻擊者甚至在這些廣告中嵌入惡意軟件（即“惡意廣告”），進(jìn)一步擴(kuò)大釣魚(yú)的攻擊面。

3.社交媒體釣魚(yú)

社交媒體平臺(tái)成為了黑客的另一個(gè)獵場(chǎng)。攻擊者可以通過(guò)偽造賬戶、冒充名人或可信聯(lián)系人，發(fā)布含有惡意鏈接的評(píng)論或信息，誘導(dǎo)用戶點(diǎn)擊。此外，游戲、賭博、星座占卜、金融投資等應(yīng)用也常被用來(lái)收集用戶的敏感信息。甚至，深度偽造技術(shù)（deepfake）也被用于散布虛假信息，制造混亂。

4.二維碼釣魚(yú)

顧名思義，二維碼釣魚(yú)是指利用二維碼實(shí)施的釣魚(yú)攻擊。例如，黑客通過(guò)在餐廳菜單、停車(chē)計(jì)費(fèi)單、活動(dòng)邀請(qǐng)函等地方貼上惡意二維碼，誘騙用戶掃描二維碼后，進(jìn)入釣魚(yú)網(wǎng)站或進(jìn)行不安全的支付。數(shù)據(jù)顯示，二維碼攻擊在過(guò)去一年內(nèi)激增了587%。

5.APP釣魚(yú)

移動(dòng)應(yīng)用釣魚(yú)指的是攻擊者通過(guò)移動(dòng)應(yīng)用商店分發(fā)惡意APP應(yīng)用，誘導(dǎo)用戶下載后，竊取其個(gè)人信息或金融數(shù)據(jù)。這些惡意APP有時(shí)會(huì)偽裝成合法的應(yīng)用，甚至模仿流行應(yīng)用。以安卓系統(tǒng)為例，近期研究人員在Google Play商店中發(fā)現(xiàn)了90多個(gè)惡意應(yīng)用，下載量超過(guò)550萬(wàn)次。

6.回?fù)茚烎~(yú)

回?fù)茚烎~(yú)是一種社會(huì)工程攻擊，攻擊者通過(guò)偽造的客服電話或幫助臺(tái)號(hào)碼，誘導(dǎo)受害者撥打電話以獲取進(jìn)一步的信息。撥釣魚(yú)通常通過(guò)電子郵件或短信來(lái)引導(dǎo)受害者回?fù)堋?/p>

7.云端釣魚(yú)攻擊

隨著云服務(wù)的普及，攻擊者開(kāi)始利用云端服務(wù)平臺(tái)發(fā)起釣魚(yú)攻擊。例如，黑客通過(guò)協(xié)同辦公軟件發(fā)送釣魚(yú)消息，或者在云存儲(chǔ)服務(wù)中托管惡意網(wǎng)址，進(jìn)而分發(fā)釣魚(yú)鏈接。通過(guò)這些手段，攻擊者能夠繞過(guò)傳統(tǒng)的網(wǎng)絡(luò)防護(hù)機(jī)制，發(fā)動(dòng)更隱蔽的攻擊。

8.內(nèi)容注入攻擊

攻擊者還會(huì)利用軟件、設(shè)備、應(yīng)用程序中的漏洞，注入惡意內(nèi)容，欺騙用戶訪問(wèn)惡意網(wǎng)站、下載惡意軟件或提交敏感信息。例如，攻擊者可以通過(guò)篡改網(wǎng)站的“聯(lián)系我們”的頁(yè)面信息，誘使用戶點(diǎn)擊惡意鏈接或撥打假冒的電話客服。

隨著AI工具的日益普及，攻擊者將能夠發(fā)起更加智能化、復(fù)雜化和個(gè)性化的釣魚(yú)攻擊。企業(yè)必須加強(qiáng)安全培訓(xùn)，并定期開(kāi)展意識(shí)提升活動(dòng)，確保員工具備應(yīng)對(duì)日益復(fù)雜的社會(huì)工程攻擊的能力，從而有效保護(hù)敏感數(shù)據(jù)和公司資產(chǎn)的安全。