网络钓鱼是一种旨在窃取用户信息(包括登录凭据和信用卡号)的网络攻击。大多数数据泄露都涉及试图窃取人们敏感信息或登录凭据的诈骗,这正是一种网络钓鱼攻击。攻击者可以通过伪造电子邮件、克隆合法网站,并诱骗用户泄露敏感信息来实施网络钓鱼攻击。
网络钓鱼攻击可以采取多种形式,其共同目标都是窃取敏感信息。从电子邮件和电话到社交媒体和虚假网站,攻击者使用不同的方法欺骗受害者泄露个人数据。以下是一些最常见的网络钓鱼攻击类型。
1. 电子邮件钓鱼
电子邮件钓鱼(Email Phishing) 是一种网络攻击,攻击者发送看起来来自合法来源的 欺诈性电子邮件 ,以此欺骗受害者泄露敏感信息,例如登录凭据、财务详情或个人数据。这些电子邮件通常包含恶意链接、附件或要求采取的行动(例如重置密码或验证账户信息),所有这些都是为了窃取或破坏接收者的数据而设计的。
电子邮件钓鱼可以通过以下方式针对用户:
冒充可信实体:
在电子邮件地址的本地部分使用组织的名称。
示例: 例如使用 [email protected],这样做可以使发件人的名字在收件人的收件箱中仅显示为 ‘Amazon‘。
虚假域名也可以使用字符替换,例如将“r”和“n”并排放在一起,使其看起来像“m”,从而以此混淆视听。
制造紧迫感和威胁:
钓鱼电子邮件通常通过声称需要立即采取行动(例如锁定您的账户或解决安全问题)来营造一种紧迫感。
示例: “您的账户已遭到入侵!在您的账户被锁定之前,请点击此处重置密码。”
恶意附件:
攻击者可能会发送包含恶意软件的附件。一旦打开,这些文件就会用病毒、勒索软件或间谍软件感染受害者的设备。
示例: 一封包含发票附件的电子邮件,一旦打开,就会安装恶意软件。
2. 鲸鱼攻击
鲸鱼攻击(Whaling) 是一种专门针对组织内高层人物(如 CEO、CFO 或其他高管)的网络钓鱼攻击,旨在窃取敏感的公司信息。这些攻击是高度针对性的,涉及广泛的研究,通常利用社交媒体等公开资源,为每个目标制定个性化的策略。术语“鲸鱼”指的是攻击的重大影响,因为它利用了这些重要人物在公司的影响力和关键作用。
以下是现实生活中此类攻击的一些例子:
CEO 欺诈:
攻击者冒充公司的首席执行官,向首席财务官发送一封令人信服的电子邮件,要求紧急将一大笔资金转账到国外银行账户。该电子邮件经过精心设计,看起来很合法,使用了 CEO 的名字和熟悉的电子邮件签名。由于请求看起来很紧急,且来自公司最高层,CFO 迅速采取行动并在未验证请求的情况下转账。
电子邮件可能要求进行资金转账,或者要求接收者审查文件。鲸鱼攻击也被称为 CEO 欺诈。涉及虚假纳税申报表的诈骗是一种日益常见的鲸鱼攻击类型。
利用社交媒体研究进行个性化伪装:
攻击者会查看公司高管的社交媒体资料(LinkedIn、Twitter 等),以了解他们即将进行的旅行计划、公司活动或个人兴趣。然后,他们会精心制作一封提及具体细节(例如最近的商务旅行或高管正在负责的项目)的钓鱼电子邮件,使电子邮件看起来更加真实。攻击者可能会索取个人信息或诱使高管点击恶意链接。
> 2016年,Snapchat 的薪资部门成为了一起孤立的电子邮件钓鱼诈骗的目标。在这起诈骗中,诈骗者冒充首席执行官,索要员工薪资信息。这封钓鱼电子邮件未被识别,导致一些现任和前任员工的薪资信息被泄露给外部人员。
3. 语音钓鱼
语音钓鱼是“Voice Phishing”的缩写,它是通过电话诱骗人们泄露敏感信息的一种手段。攻击者会伪造属于真实公司的号码,或者冒充呼叫中心的专业人员。
解决账户问题:
来电者冒充您的银行或您所属组织的代表,声称您的账户存在问题。他们可能会说:“您的账户已被冻结”或“您的账户存在可疑活动……”(注:原文截断)