什么是捕鲸攻击？

什么是捕鲸诈骗？

捕鲸（又称捕鲸钓鱼）是一种针对高管的攻击，通常通过电子邮件、短信或即时消息等数字渠道进行。捕鲸钓鱼（Whaling）是鱼叉式网络钓鱼的一种形式，具有高度针对性，通常需要攻击者事先进行大量信息搜集。捕鲸钓鱼的目标是数据、访问权限或金钱。由于捕鲸钓鱼针对高管层或其他高级管理人员，攻击者的目标通常是获取高度敏感数据、高级访问权限或巨额资金。

他类型的网络钓鱼攻击类似，捕鲸钓鱼同样借助社会工程学手段，诱使目标对象快速采取行动。诈骗分子会采用域名欺骗、身份仿冒等多种技术手段来隐藏其真实身份。

捕鲸攻击耗费（攻击者）大量成本与时间，因此相对少见，但会对企业造成极为严重的负面影响。除了典型的网络钓鱼防御措施外，组织还需要防范捕鲸攻击，因为这种攻击所采用的手段有可能绕过普通安全防护。

捕鲸攻击使用哪些社会工程学手段？

诈骗分子可能会不遗余力地精心策划其捕鲸攻击活动。从他们的角度来看，由于旨在获得巨额回报，捕鲸攻击是值得的。他们使用的一些主要策略包括：

包含个人信息以提升可信度：个性化处理可使消息更显真实可信。有关目标受害者工作或个人生活的详细信息可以来自各种来源。

增加紧迫感：捕鲸攻击消息会促使目标立即采取行动，以避免发生某种负面后果。为提升紧迫感，捕鲸攻击通常会关联重要或高关注度事件，例如企业并购、法务调查、重大金融交易或数据泄露事件。

仿冒可信人员：诈骗分子会利用域名欺骗、伪造即时通讯账号，甚至通过SIM 卡置换获取的手机号码，伪装成目标对象认识的人员。他们可能会模仿可信人员的写作风格，或使用深度伪造技术来模仿其声音或外貌。如果攻击者通过先前的帐户接管攻击中已攻陷可信人员的账号，捕鲸攻击者甚至可以直接使用该真实帐户实施攻击。这种手段的常见形式之一是攻击者冒充 CEO，联系人力资源高管或财务部门高层人员。

多次互动，而非普通网络钓鱼攻击中那样仅发送一封电子邮件。骗子可能会为了获得目标受害者的信任而花费数周或数月的时间。例如，冒充 Acme Corp. 首席执行官的诈骗者，可能会使用与真实 CEO 邮箱略有差异的地址，向该公司人力资源总监发送内容看似正规的邮件，使人力资源总监习惯对这类邮件进行回复。获得信任后，他们就会发出恶意请求。

将消息插入现有对话或交易流程：攻击者在身份仿冒的基础上更进一步，可直接在已存在的消息会话中发送伪造内容。这种手段难度较高，但之前成功的帐户接管攻击可以使其成为可能。

捕鲸攻击者如何撰写个性化消息？

诈骗者可通过多种渠道获取用于个性化伪造消息所需信息，从而让目标受害者产生熟悉感。

• 公开信息：捕鲸攻击的目标通常担任高曝光度职务，这意味着其大量相关信息可被公众获取。攻击者可利用此类信息确定攻击目标、制定攻击方案，并对发送的每条攻击消息进行个性化处理。
• 社交媒体信息：例如，若某位首席技术官（CTO）刚在美国内华达州拉斯维加斯参加了一场会议并发布了相关动态，攻击者便可伪装成其在该会议上结识的联系人。
• 研究公司层级结构和职能：公司层级结构的大部分信息可从其网站或社交媒体平台获取。
• 之前泄露的数据：包括联系信息在内的个人信息集合可以在暗网上购买，或者诈骗者可能从之前的攻击中获得此类信息。
• 内部参与（有意或无意）：攻击者可能通过社会工程学手段，诱导公司员工泄露企业内部架构、运营机制或高管行为习惯等敏感信息。另外，恶意内部人员和企业间谍也可能故意将这些信息传达给捕鲸者。

捕鲸钓鱼攻击如何使用 AI？

• 生成消息： 大型语言模型 (LLM)使创建令人信服、无错误的消息或电子邮件更加容易。
• 仿冒受信任方：AI 可以帮助骗子模仿某人的写作风格或电话声音。
• 用于品牌模仿的氛围编码：使用氛围编码，可以比以往更快地构建虚假网站或看似真实的电子邮件设计。
• 自动化：利用 AI 可自动完成捕鲸攻击生命周期中的部分环节，包括识别潜在攻击目标、攻陷下游帐户等。

捕鲸钓鱼 vs. 企业电子邮件破坏 (BEC)

捕鲸攻击与企业电子邮件破坏（BEC）攻击有一些共同之处。与 BEC 攻击一样，捕鲸攻击高度依赖社会工程学，而不是恶意软件或恶意链接，因此它们更有可能避开电子邮件安全过滤器。但是，BEC 攻击可能针对企业的低层或中层成员，而捕鲸攻击则专门针对首席高管或其他身居高位的知名人士。因为攻击者期望获得更大的回报，捕鲸攻击可能比典型的 BEC 活动构造得更加复杂精密，而且攻击者可能表现出高度的持久性。

捕鲸攻击也可以通过电子邮件以外的渠道进行。多渠道攻击已在各类钓鱼攻击中变得更为普遍。

如何防范捕鲸攻击

为投入充足资源与时间实施捕鲸攻击的攻击者，通常会确保其邮件通过 DMARC、DKIM 和 SPF 等基础安全校验。当然，情况并非总是如此，这些安全校验仍有使用价值，但不应仅依赖它们。猎鲸钓鱼攻击也可能无法触发传统安全邮件网关的告警，因为这类攻击一般不含恶意链接或附件，且攻击者会刻意规避使用已知恶意 IP 地址进行发送邮件。

因此，具备发件人信誉、邮件情感、会话上下文及其他属性分析能力的邮件安全过滤系统，对于检测潜在的捕鲸攻击至关重要（这一点同样适用于 BEC 攻击防范）。异常请求或消息可被标记为可疑行为，并进行核查或拦截。

最后，企业内部所有员工、外包人员及管理人员均应接受定期培训，学习如何识别潜在的钓鱼攻击活动，并在执行重大交易前，通过其他可信渠道与邮件或消息的声称发件人进行核实。

了解 Cloudflare Email Security 如何在捕鲸攻击和 BEC 攻击发生之前予以阻止。

 

常见问题解答

什么是捕鲸攻击，它的主要目标是什么人？

捕鲸也称为鲸鱼网络钓鱼，是一种专门针对高层管理人员与 C 级高管的定向网络攻击。与大范围的钓鱼不同，此类攻击具有高度针对性，攻击者会进行充分的信息搜集，以锁定拥有较高管理权限或访问权限的个人。

捕鲸攻击与常规企业电子邮件破坏有什么不同？

虽然这两种方法都使用了社会工程学手段，但捕鲸攻击专门针对企业的知名高级人员。与可能针对任何级别员工的典型 BEC 攻击相比，捕鲸攻击活动往往带来更高的潜在回报，因此通常更具持久性，设计也更复杂。

捕鲸攻击背后的主要动机是什么？

诈骗分子实施捕鲸攻击，旨在获取巨额资金、侵入安全系统或窃取高度敏感的企业数据。

攻击者使用哪些社会工程学手段来建立信任？

攻击者可能会在数周甚至数月内与目标对象进行交互，以建立合法可信的形象，之后再提出恶意请求。他们通常会利用个人信息、模仿特定人员的行文风格，甚至使用深度伪造技术与被盗账号，来伪装成合法可信的身份。

诈骗分子通过哪些方式利用紧迫感来操纵攻击目标？

捕鲸攻击消息通常会将其请求与法律调查、公司并购或数据泄露等重大事件关联，以此提升胁迫力度。这会迫使高管立即采取行动，以避免出现其认为的负面后果。