什么是网络钓鱼攻击?
网络钓鱼是一种网络犯罪,攻击者伪装成受信任的组织,诱骗人们提供用户名、密码和信用卡号等敏感信息。这些诈骗通常通过电子邮件发生,但也可能通过电话、网站和社交媒体发生。
其主要目的是身份盗窃,使攻击者能够访问个人账户或公司系统,从而造成经济损失或名誉损害。网络钓鱼利用的是人的信任和紧迫感。尽管网络安全取得了进步,但它仍然是一种威胁,因此保持警惕和谨慎至关重要。
网络钓鱼的演变
网络钓鱼攻击是社会工程学的一种形式,自 20 世纪 90 年代中期出现以来,已经发生了很大的变化,其特点是攻击目标的复杂程度不断提高。攻击者通过精心研究,为受害者量身定制个性化信息,这种方法被称为鱼叉式网络钓鱼。
最初,网络钓鱼骗局相对来说并不复杂,通常涉及群发电子邮件,目的是诱使毫无戒心的用户提供敏感信息,如密码或信用卡详细信息。
随着互联网使用量的增加,网络钓鱼者的手段也在增加,他们现在部署了更先进的技术,利用电子邮件欺骗、语音网络钓鱼(vishing),甚至短信网络钓鱼(smishing)。这些方法欺骗受害者,让他们误以为自己与合法、可信的来源进行了互动。
这一改编展示了网络犯罪活动的动态性质,其驱动力是技术进步和对利用数字通信中人类弱点的不懈追求。

网络钓鱼是如何运作的?
网络钓鱼通过诱骗受害者提供用户名、密码、信用卡号或其他个人信息等敏感信息来达到目的。攻击者通常使用看似合法的欺骗性电子邮件、信息或网站。
下面是一个逐步分解的步骤:
鱼饵制作:攻击者模仿银行、社交媒体网站或在线服务等可信实体,创建令人信服的信息或网站。
交货:网络钓鱼诱饵通过电子邮件、短信、社交媒体或其他通信渠道发送给潜在受害者。
欺骗:邮件通常包含紧急或诱人的内容,促使收件人点击链接、下载附件或提供个人信息。
剥削:如果受害者上钩,就会被引导到一个欺诈网站或表格,在那里输入敏感信息。
数据采集:攻击者收集提交的信息,并将其用于恶意目的,如身份盗窃、金融欺诈或进一步的网络攻击。
网络钓鱼攻击由于能够避开检测方法,已成为最普遍、最有效的网络犯罪方法之一。上当受骗会增加丢失敏感信息的风险,以及身份盗窃、数据丢失或恶意软件感染的可能性。
低成本网络钓鱼工具包的出现使其更易于部署。这些工具包汇集了各种工具,如网站开发软件、编码、垃圾邮件软件和内容,可用于收集数据和创建令人信服的网站和电子邮件。
增加更复杂、更神秘的网络钓鱼技术,使新手威胁参与者也能绕过传统的安全防御系统。

商业电子邮件破解 (BEC) 与网络钓鱼
商业电子邮件破坏(BEC)和网络钓鱼 都是欺骗性的电子邮件攻击,它们针对不同的受众,有着不同的目标。BEC 具有针对性和经济动机,而网络钓鱼则对个人数据撒下了更大的网。
BEC 主要针对组织内的特定个人,如高管或财务人员,操纵业务流程以获取经济利益。攻击者收集信息,制造令人信服的信息,从而导致未经授权的交易或敏感信息的泄露。
相比之下,网络钓鱼攻击的目的是接触广大受众,获取个人信息,如密码或信用卡信息。这些电子邮件的个性化程度较低,并试图同时欺骗许多人,使得网络钓鱼更多地是为了收集数据,而不是直接操纵业务运营。
网络钓鱼攻击的类型
以下是攻击者最常用的网络钓鱼技术,但并非完整的汇编。了解这些技术可以帮助个人和组织更好地识别和防御网络钓鱼攻击。
网络钓鱼
攻击者发送看似来自可靠来源的欺诈性电子邮件。它们要求收件人点击链接、下载附件或提供敏感信息。攻击者使用各种策略,包括制造紧迫感或恐惧感,操纵收件人满足他们的要求。链接可能会将用户重定向到合法的假冒网站,而附件则可能包含感染收件人设备的恶意软件。
网络钓鱼
钓鱼 是一种有针对性的网络犯罪形式,攻击者利用个人信息为特定个人或组织制作令人信服的信息。一般网络钓鱼的目标是许多收件人,而鱼叉式网络钓鱼则不同,它是高度个性化的。
攻击者从社交媒体或公司网站等渠道收集信息,使其信息看起来合法且相关。这增加了受害者参与内容、披露敏感信息或点击恶意链接的机会,使得鱼叉式网络钓鱼比更广泛的网络钓鱼策略更有效。
案例研究:FreeMilk 会话劫持网络钓鱼活动
捕鲸
网络钓鱼是一种针对知名公司高管的网络钓鱼。捕鲸的目的是通过电子邮件通信获取高度机密信息。信息往往显得很紧急,以说服接收者迅速采取行动。在这种情况下,受害者可能会不假思索地点击恶意链接,使攻击者得以窃取登录凭证和敏感数据或下载恶意软件。
网络钓鱼(短信钓鱼)
网络钓鱼的行为与其他网络钓鱼攻击类似,但它是以短信的形式发出的。通常,信息中会包含欺诈性附件或链接,促使用户从移动设备上点击。
网络钓鱼(Vishing)
网络钓鱼又称 "语音钓鱼",是指攻击者通过电话以受害者为目标获取数据。为了显得合法,攻击者可能会假装从受害者的银行或政府机构打来电话。
克隆网络钓鱼
克隆网络钓鱼是一种复杂的方法,攻击者会创建一个几乎完全相同的合法电子邮件副本,并用恶意链接或附件替换。克隆电子邮件看似来自可信来源,使受害者更有可能相信该邮件并按照指示操作。
制药
攻击者通常通过 DNS 中毒,在用户不知情的情况下将合法网站流量重定向到欺诈网站,而不是直接欺骗个人。许多网络安全措施都没有注意到这一点。
HTTPS 网络钓鱼
HTTPS 网络钓鱼是一种攻击方式,攻击者利用 HTTPS(表示安全连接的协议)创建欺诈网站,使其看起来合法可信。通过使用 HTTPS 证书保护恶意网站,攻击者会欺骗受害者,让他们相信网站是安全和真实的。
基于凭证的攻击
基于凭证的攻击 使用被盗或泄露的登录凭证(用户名和密码),在未经授权的情况下访问系统、网络或账户。这些攻击通常涉及以下策略
- 网络钓鱼:欺骗性电子邮件或信息诱骗用户提供登录信息。
- 键盘记录:记录键盘输入以获取输入凭证的恶意软件。
- 塞满证书:利用人们经常在多个网站重复使用密码这一事实,使用从一个漏洞中窃取的凭证列表来访问其他系统。
- 暴力攻击:系统地尝试所有可能的用户名和密码组合,直到找到正确的组合。
- 中间人攻击: 拦截用户与系统之间的通信,以获取凭证。

如何识别网络钓鱼技术
多年来,网络犯罪分子已经发生了很大变化。他们可以制作几乎任何人都能信服的欺诈性信息和附件。训练有素的个人遵循适当的安全协议,往往能发现甚至是复杂的网络钓鱼企图。即使是最老练的网络安全专业人员也很难发现这些问题。潜在目标可以寻找常见迹象来识别网络钓鱼信息。

网络钓鱼的常见迹象
防范网络钓鱼攻击的最佳方法是了解和识别钓鱼电子邮件中常见的泄露信息,这些信息看起来可能可疑,也可能不可疑。以下是一些赠品:
- 每逢节假日,大多数人都在等待快递,这时,详细说明账户、银行信息、金融交易和货物问题的信息就会大量出现。
- 语言似乎不正确,信息也不流畅,而这正是母语使用者的典型特征。它的特点是拼写错误、语法不当和用法问题。
- 信息看起来像是来自一个值得信赖的品牌,但却包含了一些不熟悉的元素,如不完全正确的颜色、格式或字体。
- 这些信息看起来并不专业,但却是作为行政人员或其他有影响力的人发出的。
- 发件人是美国联邦政府机构,要求您通过电子邮件提供个人身份信息 (PII),或通过链接进入一个不以 .gov 结尾的 URL。
- 发件人会立即要求您提供社会保险号或纳税识别号。
- 发件人的地址、姓名或电子邮件地址看起来很奇怪。
- 信息来自你不认识的人,要求你提供礼品卡、汇款、银行或信用卡信息。
- 邮件中包含点击链接或下载附件,但地址或文件名似乎不同寻常。
- 意外的附件或名称不寻常或不熟悉的文件都是恶意文件的先兆。

如何防范网络钓鱼攻击
网络钓鱼是一种多层面的威胁,要求采取全面的策略才能战胜。要克服网络钓鱼的挑战,需要一个从主动到被动的端到端综合流程。如果有其一而无其二,就无法应对威胁。
网络钓鱼安全堆栈
认识到网络钓鱼不仅仅是电子邮件问题至关重要。拥有一个能够应对高级网络钓鱼和入侵式网络钓鱼攻击的安全堆栈至关重要。使用基于 URL 数据库和网络爬虫的系统是行不通的。需要在线机器学习等技术来分析交付给最终用户的页面内容,以确保不存在网络钓鱼风险,防范患者归零。
安全生命周期方法
降低网络钓鱼的风险不仅仅是部署任何一种技术,而是要采用全生命周期的方法。这意味着组织需要具备主动和被动两种能力。无论你在安全方面部署了多少、投入了多少,你都必须计划好,以防有什么东西可以通过。如果员工被网络钓鱼,凭证被盗,组织是否有能力检测到恶意访问,然后做出反应?
执行管理层必须与组织的团队合作,确保技术、人员和流程到位,帮助尽可能多地防止入境网络钓鱼攻击。
以下是一些额外的网络钓鱼防御策略:
- 采用垃圾邮件过滤器和设置电子邮件验证协议可以大大降低网络钓鱼电子邮件到达用户收件箱的风险。
- 定期用最新补丁更新软件和系统,有助于弥补网络犯罪分子经常利用的安全漏洞。
- 实施多因素身份验证,要求在密码之外增加一种验证形式,从而增加了一层额外的安全保障。
- 让用户了解网络钓鱼威胁的本质至关重要。定期培训和更新可以帮助人们识别可疑的电子邮件、链接或网站。
- 实施弹性电子邮件过滤系统可以大大减少到达收件箱的网络钓鱼电子邮件数量。
- 确保网络安全,使用防火墙和最新杀毒软件阻止潜在的网络钓鱼攻击至关重要。
- 采用反网络钓鱼工具和策略(如浏览器扩展和网络安全软件)可以提供实时保护,提醒用户注意潜在的钓鱼网站,并在损害发生前阻止恶意内容。
利用综合平台将风险降至最低
像 Cortex XSIAM 这样注重人员、流程和技术的全面安全平台,可以最大限度地减少网络钓鱼攻击的成功率。
在技术方面, 沙箱 等安全工具会分析未知链接或文件,如果是恶意链接或文件,就会实施策略阻止访问。其他程序,如 URL 过滤,可 阻止已知的恶意网站和未知网站,及早预防攻击。通过访问威胁情报云,可以获得全球社区的综合知识,从而在出现类似攻击时提供保护。
基于声誉的电子邮件网关解决方案可以根据嵌入 URL 的已知不良声誉来捕获网络钓鱼电子邮件并对其进行分类。不过,精心制作的网络钓鱼信息,其 URL 来自被泄露的合法网站,在发送时不会有不良声誉,会被这些工具漏掉。
最有效的系统会根据异常流量模式等分析结果识别可疑邮件。然后,它们会重写嵌入式 URL,并不断检查页面内的漏洞和下载。
这些监控工具会隔离可疑的电子邮件信息,以便管理员研究正在进行的网络钓鱼攻击。如果检测到许多网络钓鱼电子邮件,管理员就可以提醒员工,减少有针对性的网络钓鱼活动成功的几率。