網絡釣魚是一種社會工程攻擊,通常用于竊取用戶數據,包括登錄憑據和信用卡號碼。當攻擊者偽裝成受信任的實體,欺騙受害者打開電子郵件、即時消息或文本消息時,就會發生這種情況。然后收件人被誘騙點擊惡意鏈接,這可能導致安裝惡意軟件、作為勒索軟件攻擊的一部分凍結系統或泄露敏感信息。
攻擊可能會產生毀滅性的后果。對于個人而言,這包括未經授權的購買、盜竊資金或身份盜竊。此外,網絡釣魚通常用于在企業或政府網絡中獲得立足點,作為更大攻擊的一部分,例如 高級持續威脅 (APT) 事件。在后一種情況下,員工為了繞過安全邊界、在封閉環境中分發惡意軟件或獲得對受保護數據的特權訪問而受到威脅。
屈服于此類攻擊的組織除了市場份額、聲譽和消費者信任度下降外,通常還會遭受嚴重的財務損失。根據范圍,網絡釣魚嘗試可能會升級為安全事件,企業將難以從中恢復。
網絡釣魚技術
電子郵件網絡釣魚詐騙
電子郵件網絡釣魚是一種數字游戲。發送數千條欺詐性消息的攻擊者可以獲取大量信息和大量金錢,即使只有一小部分收件人落入騙局。如上所示,攻擊者使用一些技術來提高成功率。
一方面,他們將不遺余力地設計網絡釣魚郵件,以模仿來自欺騙組織的實際電子郵件。使用相同的措辭、字體、徽標和簽名使消息看起來合法。
此外,攻擊者通常會試圖通過制造緊迫感來促使用戶采取行動。例如,如前所述,電子郵件可能會威脅帳戶到期并將收件人置于計時器上。施加這樣的壓力會導致用戶不那么勤奮并且更容易出錯。最后,郵件中的鏈接與合法的鏈接相似,但通常有拼寫錯誤的域名或額外的子域。
魚叉式網絡釣魚
魚叉式網絡釣魚針對特定的個人或企業,而不是隨機的應用程序用戶。這是一種更深入的網絡釣魚版本,需要有關組織的特殊知識,包括其權力結構。
攻擊可能會如下進行:
- 犯罪者研究組織營銷部門的員工姓名,并獲得最新的項目發票。
- 攻擊者冒充營銷總監,使用主題行向部門項目經理 (PM) 發送電子郵件,主題行為“第三季度活動的更新發票”。文本、樣式和包含的徽標與組織的標準電子郵件模板重復。
- 電子郵件中的鏈接重定向到受密碼保護的內部文檔,該文檔實際上是被盜發票的欺騙版本。
- 要求 PM 登錄以查看文檔。攻擊者竊取他的憑據,獲得對組織網絡中敏感區域的完全訪問權限。
通過向攻擊者提供有效的登錄憑據,魚叉式網絡釣魚是執行 APT 第一階段的有效方法。
如何防止網絡釣魚
網絡釣魚攻擊防護需要用戶和企業共同采取措施。對于用戶來說,警惕是關鍵。欺騙性消息通常包含暴露其真實身份的細微錯誤。這些可能包括拼寫錯誤或域名更改,如前面的 URL 示例所示。用戶還應該停下來想想他們為什么會收到這樣的電子郵件。
對于企業來說,可以采取一些步驟來緩解網絡釣魚和魚叉式網絡釣魚攻擊:
- 雙重身份驗證 (2FA) 是抵御網絡釣魚攻擊的最有效方法,因為它在登錄敏感應用程序時增加了額外的驗證層。2FA 依賴于用戶擁有兩件東西:他們知道的東西,例如密碼和用戶名,以及他們擁有的東西,例如他們的智能手機。即使員工遭到入侵,2FA 也會阻止使用他們被入侵的憑據,因為僅憑這些憑據不足以進入。
- 除了使用 2FA,組織還應執行嚴格的密碼管理策略。例如,應要求員工經常更改密碼,并且不允許在多個應用程序中重復使用密碼。
- 教育活動還可以通過強制執行安全做法(例如不單擊外部電子郵件鏈接)來幫助減少網絡釣魚攻擊的威脅。
