网络钓鱼是一种社会工程攻击,通常用于窃取用户数据,包括登录凭据和信用卡号。当攻击者伪装成受信任的实体,欺骗受害者打开电子邮件、即时消息或文本消息时,就会发生这种情况。然后,收件人会被诱骗点击恶意链接,这可能会导致安装恶意软件、作为勒索软件攻击的一部分冻结系统或泄露敏感信息。
一次攻击可能会产生毁灭性的后果。对于个人而言,这包括未经授权的购买、窃取资金或身份盗窃。
此外,网络钓鱼通常用于在企业或政府网络中站稳脚跟,作为更大攻击的一部分,例如 高级持续威胁 (APT) 事件。在后一种情况下,员工会受到威胁,以绕过安全边界、在封闭环境中分发恶意软件或获得对安全数据的特权访问。除了市场份额、声誉和消费者信任度下降之外,遭受此类攻击的组织通常还会遭受严重的财务损失。根据范围的不同,网络钓鱼尝试可能会升级为安全事件,企业将难以从中恢复。推荐阅读:《如何安全上网并阻止Cookies》
网络钓鱼攻击示例
以下说明了一种常见的网络钓鱼诈骗尝试:
一封表面上来自myuniversity.edu 的伪造电子邮件 被大量分发给尽可能多的教职员工。
什么是网络钓鱼攻击?
该电子邮件声称用户的密码即将到期。给出了 在 24 小时内访问 myuniversity.edu/renewal更新密码的说明。
单击链接可能会发生多种情况。例如
用户被重定向到 myuniversity.edurenewal.com,这是一个与真正的续订页面完全一样的虚假页面,其中要求新密码和现有密码。攻击者监控页面,劫持原始密码以访问大学网络上的安全区域。
用户被发送到实际的密码更新页面。但是,在重定向时,恶意脚本会在后台激活以劫持用户的会话 cookie。这会导致 反射型 XSS 攻击,使犯罪者获得访问大学网络的特权。
网络钓鱼技术
电子邮件网络钓鱼诈骗
电子邮件网络钓鱼是一种数字游戏。发送数千条欺诈性消息的攻击者可以获取大量信息和金钱,即使只有一小部分收件人会被骗。如上所述,攻击者可以使用一些技术来提高成功率。
一方面,他们会不遗余力地设计网络钓鱼邮件,以模仿来自欺骗组织的实际电子邮件。使用相同的措辞、字体、徽标和签名使消息看起来合法。
此外,攻击者通常会试图通过制造紧迫感来促使用户采取行动。例如,如前所述,电子邮件可能会威胁到帐户到期并将收件人置于计时器上。施加这样的压力会导致用户不够勤奋并且更容易出错。
最后,邮件中的链接类似于它们的合法链接,但通常有拼写错误的域名或额外的子域。在上面的示例中, myuniversity.edu/renewal URL 更改为 myuniversity.edurenewal.com。两个地址之间的相似性给人以安全链接的印象,使接收者不太了解正在发生攻击。
鱼叉式网络钓鱼
鱼叉式网络钓鱼针对特定的个人或企业,而不是随机的应用程序用户。这是一种更深入的网络钓鱼版本,需要了解组织的特殊知识,包括其权力结构。
攻击可能如下进行:
肇事者研究组织营销部门员工的姓名并获得最新的项目发票。
攻击者冒充营销总监,向部门项目经理 (PM) 发送电子邮件,主题行为“更新 Q3 活动的发票”。文本、样式和包含的徽标复制了组织的标准电子邮件模板。
电子邮件中的链接重定向到受密码保护的内部文档,实际上是被盗发票的伪造版本。
要求 PM 登录以查看文档。攻击者窃取他的凭据,获得对组织网络内敏感区域的完全访问权限。
通过向攻击者提供有效的登录凭据,鱼叉式网络钓鱼是执行 APT 第一阶段的有效方法。
如何防止网络钓鱼
网络钓鱼攻击防护需要用户和企业都采取措施。
对于用户来说,警惕是关键。欺骗性消息通常包含暴露其真实身份的微妙错误。这些可能包括拼写错误或域名更改,如前面的 URL 示例所示。用户也应该停下来想想为什么他们甚至会收到这样的电子邮件。
对于企业而言,可以采取多种措施来缓解网络钓鱼和鱼叉式网络钓鱼攻击:
双因素身份验证 (2FA) 是抵御网络钓鱼攻击的最有效方法,因为它在登录敏感应用程序时添加了额外的验证层。2FA 依赖于用户拥有两件事:他们知道的东西,例如密码和用户名,以及他们拥有的东西,例如他们的智能手机。即使员工受到威胁,2FA 也会阻止使用他们被泄露的凭证,因为仅凭这些不足以进入。
除了使用 2FA 之外,组织还应实施严格的密码管理策略。例如,应该要求员工经常更改他们的密码,并且不允许在多个应用程序中重复使用一个密码。
教育活动还可以通过实施安全措施(例如不点击外部电子邮件链接)来帮助减少网络钓鱼攻击的威胁。推荐相关阅读:《如果WordPress网站被黑客攻击该怎么办》