网络钓鱼攻击:深潜与预防技巧

网络钓鱼攻击的类型

最基本的定义是, 网络钓鱼攻击一词通常指针对大量用户(或“目标”)的广泛攻击。. 这可以被认为是“数量重于质量”的方法, 攻击者需要最少的准备, 期望至少有几个目标会成为它的受害者(使最小的前期努力具有吸引力，即使攻击者的预期收益通常不是那么大).

网络钓鱼攻击通常通过一种情感或欲望向用户发送一条消息，旨在请求特定的响应(通常是鼠标点击), 例如下面的例子:

• “你可以赢得一张价值50美元的X餐厅礼品卡”(贪婪)
• “您的采购订单已被批准”(混淆)
• “如果您不立即登录，您的帐户将被取消”(担忧，紧迫感)

攻击者有很多方法可以通过一封电子邮件获取你的信息. 然而，通常有一些指标可以帮助确定电子邮件是否合法. 

多年来，攻击者在网络钓鱼攻击方面不断创新, 想出一些变种，要求攻击者付出更多的前期努力，但结果要么是更高的受害者率，要么是每个受害者获得更高的价值“赔偿”(或两者兼而有之)!).

鱼叉式网络钓鱼

当网络钓鱼攻击被定制为针对某个组织或特定个人时, 这被称为鱼叉式网络钓鱼. 这些攻击涉及提前收集的额外信息，并结合其他元素(如公司徽标), 公司或与公司合作的其他企业的电子邮件和网址, 有时还会透露目标的专业或个人细节，以便尽可能地显得真实. 攻击者的这种额外努力往往会带来更多的目标被欺骗.

了解更多关于 鱼叉式钓鱼攻击.

捕鲸

作为鱼叉式网络钓鱼攻击的一种变体, 捕鲸的目标是公司的高级管理人员. 捕鲸攻击通常会考虑到这些执行角色的具体职责, 利用重点信息欺骗受害者. 当捕鲸攻击成功地欺骗目标时，攻击者的意外之财可能是相当可观的.g. 公司账户、公司机密等的高级凭据.).

了解更多关于 捕鲸的攻击.

克隆钓鱼

鱼叉式网络钓鱼攻击的另一种变体是克隆式网络钓鱼. 在这次攻击中, 目标会收到之前收到的合法消息的副本(或“克隆”), 但是，攻击者在试图诱捕目标时做出了特定的改变.g. 恶意附件、无效URL链接等.). 因为这次攻击是基于之前看到的, 合法的消息, 它可以有效地欺骗目标.

和更多的

攻击者继续寻找新的和创造性的方法来攻击毫无戒心的计算机用户. 最近的网络钓鱼攻击 涉及一个b谷歌医生 这是通过一个目标认识的用户的电子邮件收到的, 然后尝试获取目标的b谷歌登录凭据(并向目标地址簿中的所有电子邮件发送垃圾邮件). 以及更多的被动攻击类型, 像嫁接, 是否会造成与其他网络钓鱼攻击相同的损失.

网络钓鱼技术

攻击者使用多种机制对目标进行网络钓鱼, 包括电子邮件, 社交媒体, 即时消息, 发短信, 而被感染的网站——有些攻击甚至是用老式电话进行的. 无论传递机制如何，网络钓鱼攻击都利用某些技术来执行.

链接欺骗

攻击者常用的一种欺骗手段是使恶意URL看起来与真实URL相似, 增加了用户不会注意到细微差别并点击恶意URL的可能性. 虽然其中一些被操纵的链接很容易被目标用户识别，他们知道“点击前检查”.g. 合法的URL.com vs. 可疑的URL leg1tbank.Com)，诸如 同形异义字攻击这种方法利用了相似的字符，会降低视觉检测的效率.

网站欺骗

链接并不是攻击者可以欺骗的唯一项目. 网站可以被欺骗或伪造，看起来好像他们是真实的, 通过使用诸如Flash或JavaScript之类的东西来创建合法网站, 允许攻击者控制URL如何显示给目标用户. 这意味着即使用户实际上正在访问恶意网站，该网站也可以显示合法的URL. 跨站脚本(XSS)使这种攻击更进一步:XSS攻击利用合法网站本身的漏洞, 允许攻击者呈现真实的网站(显示合法的URL, 合法的安全证书, etc.)，然后悄悄窃取用户提供的凭据.

恶意和隐蔽重定向

重定向是攻击者强迫用户浏览器与意想不到的网站交互的一种方式. 恶意重定向通常涉及目标用户通常/故意访问的网站, 然后强行将所有访问者重定向到不受欢迎的页面, attacker-controlled网站. 攻击者可以通过使用自己的重定向代码破坏网站，或者通过发现目标网站上存在的允许通过特制url强制重定向的错误来实现这一点, 例如.

顾名思义, 隐蔽重定向使目标用户不太明显，他们正在与攻击者的网站进行交互. 隐蔽重定向的一个常见场景是，攻击者通过对现有的“登录您的社交媒体帐户”按钮进行新的操作来破坏现有的网站，用户可能会点击该按钮以留下评论. 这个新操作收集用户提供的社交媒体登录凭据，并在进入实际的社交媒体网站之前将它们发送到攻击者的网站, 让目标用户一无所知.

如何防止网络钓鱼攻击

以下建议旨在防止和解除网络钓鱼攻击的成功:

持续的用户教育和锻炼

这是周三白板的一部分, 高级产品营销经理, 贾斯汀•布坎南, 讨论员工如何识别工作空间中潜在的网络钓鱼威胁. 

• 将所有用户(从首席执行官以下)转变为对抗网络钓鱼攻击的最佳资产之一. 让用户定期参与 安全意识培训 以及如何识别和避免网络钓鱼诈骗的教育(以及再教育), 配以常规, 未经宣布的网络钓鱼“练习”，以加强和应用他们所学到的知识. 这将确保用户对最新的网络钓鱼攻击有最新的认识，并在遇到网络钓鱼攻击时采取实际行动.

过滤可疑附件

• 在已知以恶意方式使用的传入附件到达您的用户之前，删除并隔离它们.

过滤恶意url

• 隔离包含恶意url的邮件. 同样，请确保安全地解析来自链接缩短器的任何url.g. bit.ly,咕.gl等.)，以确保它们不会解析为恶意url.
• 试图绕过过滤器, 一些攻击者将发送不包含正文和一张大图片(其中图片本身包含文本)的网络钓鱼消息, 这将被某些过滤技术忽略). 较新的基于“字符识别”的过滤技术可以检测这些消息并对其进行过滤.

促进良好的证书行为

• 禁用弱密码. 建议设置长度至少为10个字符且包含字母的密码, numbers, 和符号.
• 强制用户定期更改密码.
• 如果您的用户目前只使用单一级别的身份验证, consider moving them to a two-step verification (2SV) or two-factor authentication (2FA; even better than 2SV) solution.

另外, 定期扫描用户和基础设施系统是否存在恶意软件，并让它们随时更新软件也是一种很好的做法补丁.

网络钓鱼攻击的广度和攻击方法可能听起来很可怕, 但是经过适当的培训，了解什么是网络钓鱼攻击, 它是如何工作的, 以及它如何伤害用户和他们的组织, 您可以帮助确保您尽可能做好准备，以识别威胁并相应地减轻威胁.