一些网络钓鱼诈骗会发送给数百万人,希望其中有人会上钩,但鱼叉式网络钓鱼攻击只针对单个目标,并且非常有说服力。
阅读本文后,您将能够:
复制文章链接
网络钓鱼是一个广泛的术语,表示旨在欺骗受害者分享敏感信息的攻击,而鱼叉式网络钓鱼是一种针对单一目标的网络钓鱼攻击,目标可以是个人、组织或企业。
鱼叉式网络钓鱼攻击特别有效,因为攻击者可以使用有关受害者的信息(通常是在网上找到的公共信息),来制造一个令人信服的诡计。
大多数网络钓鱼攻击并非直接针对特定的目标。通常,网络钓鱼邮件会批量发送给尽可能多的人,攻击者希望有一小部分人会上当受骗。这是进行网络钓鱼攻击最便宜、最快捷的方式。攻击者可能会组合运用一定程度的自动化和个性化技术,尤其是使用 AI,但针对个人或企业的额外定制并不是典型的批量网络钓鱼攻击的一部分。
与普通的网络钓鱼攻击相比,鱼叉式网络钓鱼的研究和个性化需要投入更多精力(以及更多资金)。因此,相比之下,鱼叉式网络钓鱼攻击更为罕见。但此类攻击的成功率非常高。一旦成功,它们会对目标造成更大的损害。
鱼叉式网络钓鱼攻击者使用多种社会工程学攻击中常见的策略来操纵受害者。这些策略包括:
除了个性化之外,攻击者通常会采取下述步骤来提高鱼叉式网络钓鱼攻击的效果。
一种常见的鱼叉式网络钓鱼策略是让攻击者伪装成处于权威地位的人,因为人们更有可能对权威人物做出回应。
下面是一个示例:
Joe 是一位名叫 Mary 的首席执行官的执行助理。一天,Mary 在国外度假,Joe 收到了一封她发来的紧急电子邮件。邮件称她的行李和手机被盗。她说她没有钱或护照,需要他尽快发送她的 PayPal 凭证,以便她可以预订酒店并购买回家的航班。Joe 可能会从他的雇主那里看到这条令人痛心的信息,并立即发送所要求的信息。
这种来自上级的“我有麻烦了,需要钱”的请求是一种常见的鱼叉式网络钓鱼脚本。攻击者可能假冒 Mary 的电子邮箱,并将电子邮件发送到 Joe 的姓名和姓名首字母的数十种不同组合,以期找到正确的。攻击者还可能通过在 Twitter 上关注 Mary 了解了 Mary 的假期计划。结合所有这些工具,攻击者可以设计出一个非常有说服力的骗局。
一个值得注意的现实例子发生在 2016 年,当时攻击者冒充 Snapchat 的 CEO,并成功说服员工交出机密的工资单信息。
鱼叉式网络钓鱼攻击也可以利用来自数据泄露的信息。另一个示例:
Steve 在一家大型在线零售商处购买了一台电脑,但几周后该零售商发生了数据泄露事件。尽管信用卡号和密码等敏感数据受到哈希保护,但客户电子邮件地址和订单历史记录却被泄露。
几天后,Steve 收到他的新电脑制造商发来的一封电子邮件,宣布他购买的型号正在被召回,并提供了一个退款链接。该链接将 Steve 带到制造商网站的假冒版本,并为 Steve 提供了一张表格,让 Steve 输入他的信用卡号以进行退款。攻击者使用一些相当无害的数据来获得 Steve 的信任并诱骗他交出他的财务信息。
捕鲸诈骗是一种鱼叉式网络钓鱼攻击,以非常知名的受害者为目标,通常是公司的高管或名人。捕鲸攻击往往更加复杂,在许多情况下,攻击者会首先对较小的目标(例如“鲸鱼”的员工)进行鱼叉式网络钓鱼攻击,以获取对最终受害者的访问权限。
示例:
在度假期间,CEO Mary 收到她在 IT 团队中认识的某个人的电子邮件或电话,让她知道他们正在遭受网络攻击,并请求访问她的工作计算机和她的帐户,以确保公司数据的安全。攻击者可能会入侵她的 IT 团队以获取 Mary 的信任,以期说服她交出凭证。
由于鱼叉式网络钓鱼涉及社会工程学,因此没有万无一失的方法来防范此类攻击。然而,可以采取一些预防措施来防止和减少鱼叉式网络钓鱼的尝试。这些措施包括: