钓鱼攻击101:如何保护你的业务
钓鱼是犯罪分子用来欺骗用户透露登录凭据、信用卡信息和其他私人数据的技术。
通常,攻击者伪装成已知和可信赖的组织。这使他们能够诱骗用户打开一个受损的网站链接、恶意电子邮件、附件或真实信息。
链接可以是一个安装了窃取敏感信息(例如登录凭据和其他私人数据)的恶意软件的服务器。通常,攻击者将恶意通信伪装成来自像电话公司或其他服务提供商这样可信赖的实体。
钓鱼攻击有多危险?
无论是针对个人还是组织,钓鱼攻击都是一个巨大的安全风险。一旦他们入侵了一个网络,他们可以安装恶意软件,感染所有计算机,然后利用这一点发起内部和外部攻击。此外,攻击者可能访问敏感的公司私人数据,他们可以用来勒索组织或卖给竞争对手。
一旦成功,骗子通常会使用被盗的凭据、信用卡信息或其他私人信息来访问受害者网络上的其他服务,进行未经授权的购买等。
一般来说,钓鱼攻击可能导致公司或个人的声誉和财务损失。此外,攻击者可能使网络瘫痪,导致停机和巨额财务损失。另一个危险是失去客户的可信度和信任,客户可能转向竞争对手。
最近钓鱼攻击的例子
以下是最近的一些钓鱼攻击案例:
#1. 谷歌和Facebook伪造发票付款
2013年至2015年间,一个立陶宛骗子通过一系列伪造发票,冒充一家亚洲大型制造商,从谷歌和Facebook获得了1亿美元以上。在两年内,诈骗者发送了几份看似来自供应商的伪造的数百万美元发票。
这些发票包括冒充谷歌和Facebook代表签署的伪造合同和信件。到他们发现这个骗局时,这两家公司已经支付了1亿美元以上。
#2. Colonial Pipeline钓鱼攻击
一次钓鱼攻击几乎使美国Colonial Pipeline的整个运营陷入瘫痪。2021年的攻击破坏了该公司的计费系统和业务网络,迫使公司停止了大部分运营。
攻击者通过钓鱼获取了一个员工的密码,然后在该公司的网络上安装了恶意勒索软件。这使他们能够破坏系统并要求赎金,该公司支付了赎金以避免进一步损害和服务中断。
最初,Colonial Pipeline支付了440万美元的解密密钥。然而,由于停工一周导致价值28.6亿美元的石油未能交付,该公司损失更多。
#3. 索尼图片公司鱼叉式钓鱼攻击
在索尼图片公司的案例中,攻击者从LinkedIn获取员工的信息,如姓名和职称,然后向员工发送鱼叉式钓鱼邮件。
然后,攻击者冒充同事,向毫无戒备的员工发送包含恶意软件的恶意电子邮件。这次攻击导致超过100TB的数据泄露,给公司造成了超过1亿美元的损失。
钓鱼攻击的类型
恶意行为者使用各种技术来欺骗目标用户。攻击方式因目标而异,以下是一些常见的钓鱼类型。
鱼叉式钓鱼
、及HTML标签保留不变。
Spear phishing是一种针对特定组织或个人而不是随机用户的攻击。因此,它需要对目标组织或用户有一些了解。攻击者必须深入挖掘并获取内部信息,如个人的权力结构、个人生活、爱好或任何可以用来定制网络钓鱼信息的信息。
然后,攻击者会定制信息,并将其发送给被害者,假装是需要更改发票详细信息或将某些资金转移到指定账户的客户、供应商或老板。在大多数情况下,识别针对性攻击很困难,因为攻击者利用了关于用户或组织的准确信息来欺骗受害者。
鲸鱼式网络钓鱼
Whaling phishing是一种类似于针对性网络钓鱼的攻击,但针对的是公司的高管。这些网络钓鱼邮件,有时会有电话跟进,经常会骗取高管授权将资金支付到诈骗者控制的账户。
另外,钓鱼者可能会骗取高管透露他们的登录凭据。一旦成功,犯罪分子可能会执行首席执行官欺诈,使用高管的被入侵的账户欺诈性地授权支付到他们的账户。
电话网络钓鱼
Vishing是一种犯罪分子使用电话欺骗毫无戒备的用户的技术。攻击者假装是来自信誉良好组织(如银行、电话公司等)的代表。
在通话过程中,他们可能会欺骗您提供敏感信息,如手机线路密码。他们还可能要求您将一些资金汇入特定账户。
一些犯罪分子可能会采用混合方法。在这种情况下,他们会先发送一封诈骗邮件,然后进行电话或电话网络钓鱼的电话,使其看起来更真实。
电子邮件网络钓鱼
当骗子向不同的用户发送数千封泛泛之泛的消息,希望其中一些人会上当并向攻击者付款时,便是电子邮件网络钓鱼。在大多数情况下,他们设计的网络钓鱼信息会模仿来自可信公司的合法电子邮件。
这些信息将具有相同的模板、标志、签名、措辞和其他使它们看起来合法的特征。除了这些信息外,他们还会创建一个与合法公司极其相似的域名,使得除非经过仔细检查,否则很难怀疑到任何不寻常之处。
犯罪分子还会制造紧迫感和威胁,如账户即将到期,除非用户采取行动(如重置密码或支付一些资金),否则将会有什么后果。
欺骗性网络钓鱼
欺骗性网络钓鱼涉及冒充已知和熟悉的邮件发送者。诈骗者通常在恶意邮件中包含一些合法链接和联系人。因此,邮件过滤器无法将这些邮件阻止或标记为垃圾邮件。
由于邮件看起来很真实,攻击者可能引导用户透露敏感信息,如银行信息、登录凭据或一些敏感公司数据。
犯罪分子通过要求用户更改密码、验证账户、进行付款等方式欺骗用户。
克隆网络钓鱼攻击
在克隆网络钓鱼中,诈骗者创建一个与合法邮件相似的邮件地址。然后,他们向用户发送电子邮件,如果用户不小心可能会与犯罪分子共享敏感信息。
例如,攻击者可能发送一条看起来来自您的老板的消息,并要求您共享某个账户的登录凭据。他们也可能伪装成供应商,并要求一些付款详细信息。
钓鱼攻击
钓鱼攻击是通过克隆网站、虚假私信或社交媒体针对用户的一种攻击。在这种钓鱼攻击中,攻击者通过社交媒体寻找目标受害者。然后,他们确定那些经常抱怨声誉良好的银行、服务提供商或其他知名组织的人。
骗子随后假扮成组织的客户支持官员,并提供帮助给抱怨者。在这一点上,攻击者诱使受害者分享登录凭据或其他敏感数据。
如何识别钓鱼尝试
识别钓鱼尝试的一种有效方法是SPEAR,如下所述。
- 发现电子邮件或信息的发件人
- 查看主题,确保与您所从事的工作相关,并且不与您通常收到的信息不符或不寻常
- 检查信息中的附件和链接。将鼠标悬停在链接上,查看它们是否相关,并且与主题或所请求的操作相匹配
- 评估信息,看它是否相关,并且不包含不熟悉的语气、紧急性、不一致性、语法错误或拼写错误
- 从真正的电子邮件帐户所有者那里请求确认。如果他们发送了该信息,请考虑与该发件人联系。
除了上述内容,以下是一些建议。
- 电子邮件中存在不一致的域名、URL、链接和电子邮件地址
- 通用或不寻常的问候语、称呼和语言
- 要求提供个人或私人数据,如信用卡详细信息、付款信息、登录凭据等的电子邮件信息
- 要求紧急采取行动的电子邮件,例如要求更改密码、支付一些款项和其他操作
现在,让我们探讨一下如何防止钓鱼攻击。
预防钓鱼攻击
组织和用户可以采取各种措施来预防钓鱼攻击。让我们来看一下。
#1. 强制执行严格的密码管理政策
管理员可以建立和执行强密码的政策。在这种情况下,他们应要求用户定期更改强密码。此外,用户不应在多个应用程序中使用相同的密码,并且应防止重复使用旧密码。
#2. 使用多重身份验证
多重身份验证确保用户在访问服务(如金融交易)之前通过多个验证级别。即使攻击者获得凭据(如用户名和密码),他们仍需要另一种形式的身份验证,比如提供发送到真实用户注册设备(如手机)的代码。
其他多重身份验证方法包括生物识别、徽章、一次性密码、个人识别码等。由于攻击者无法通过第二次身份验证,即使他们有密码,也无法访问和破坏系统。
#3. 提高员工意识
为员工和高管进行意识培训是减少钓鱼攻击风险的一种方式。其目标应是促进安全的在线活动,并使员工,包括高管,能够识别并处理恶意电子邮件。
用户应了解点击看起来可疑的链接或打开文档的风险,以及将敏感信息透露给陌生人的风险。此外,他们应该被劝阻在社交媒体上发布敏感的个人和公司信息。
#4. 安装电子邮件安全软件和工具
安装可靠高效的email security software来检测和阻止网络钓鱼和其他威胁。典型的解决方案包括防病毒软件、防火墙、垃圾邮件过滤器等。此外,组织可以安装网络过滤器来检测恶意网站并防止员工访问。
#5. 不要点击链接
用户应避免点击来自不熟悉发件人的链接或附件。在处理此类电子邮件时,需要采取预防措施,包括那些看起来来自可信来源的邮件。
如果看起来可疑,可以将鼠标悬停在链接上,或将链接复制到新的浏览器窗口中查看是否与电子邮件的内容匹配。
#6. 确保电子邮件来自可靠的域名
用户应避免打开或处理来自可疑域名的电子邮件。例如,如果有人给您发送了一封自称来自微软的电子邮件,但使用的电子邮件地址具有不同的域名,那就是可疑的。如果有疑问,可以复制域名并在互联网上搜索。
如果其内容与消息不符,您应该对其持怀疑态度。虽然大多数网络钓鱼邮件都会被标记为垃圾邮件,但有些可能会通过垃圾邮件过滤器并伪装成真实邮件。
#7. 避免在不安全的网站上提供信息
如果链接带您进入一个不熟悉的网站,您不应提供任何敏感或私人信息。您永远不应向陌生人透露公司或个人数据,否则,骗子可能会窃取这些信息并进行未经授权的活动。
总结
网络钓鱼攻击不断增加,欺诈者不断采用新的伎俩。尽管组织可以改善其安全态势,但危险的用户行为是网络钓鱼攻击的主要因素之一。
因此,使用可靠的安全工具和安全的在线用户行为是阻止攻击并确保敏感业务数据的安全的最有效方式之一。
接下来,您可以查看最佳URL scanners以检查链接是否安全。
