網絡釣魚19式
根據思科《2021年網絡安全威脅趨勢報告》指出,網絡釣魚攻擊占所有數據泄露的90%以上,遠遠超過惡意軟件和勒索軟件攻擊,每年影響數百萬用戶。網絡釣魚攻擊的主要問題是,用戶和組織在識別它們方面缺乏認知和培訓。即便有最新的安全協議和軟件護航,如果缺乏適當的安全意識培訓,也不可能完全免受網絡威脅。
隨著技術的進步,黑客和網絡犯罪分子將不斷開發新的網絡釣魚技術來竊取敏感數據。為了保護自身最大限度地避免網絡釣魚攻擊,請遵循本指南,了解目前使用的最常見的網絡釣魚攻擊類型。
最常見的網絡釣魚攻擊類型及識別方式:
1. 電子郵件網絡釣魚
釣魚電子郵件是最古老和最常用的釣魚攻擊類型之一。大多數嘗試都通過偽裝成值得信賴的發件人來鎖定目標。更專業的攻擊者甚至會從合法公司復制完全相同的電子郵件格式,并包含惡意鏈接、文檔或圖像文件,以欺騙用戶“確認”其個人信息或自動下載惡意代碼。
識別方法:
索取個人信息——合法公司絕不會通過電子郵件索取您的個人信息;
緊急問題——許多騙子會用緊急通知來掩飾其網絡釣魚企圖,例如賬戶被破壞、付款失敗、登錄驗證或版權侵犯。記住,不要點擊任何鏈接,直接去網站檢查;
縮短鏈接——縮短或壓縮鏈接是屏蔽惡意url的方法。像Bitly或TinyURL這樣的服務可以隱藏鏈接將帶你去的實際網址;
無域電子郵件地址——欺詐電子郵件地址通常使用第三方提供商或合法電子郵件域名的變體(例如@upguardnow.com而不是@upguard.com)。記住再三確認發件人的電子郵件地址,以確保它與用戶或公司的名稱相匹配;
拼寫和語法錯誤——電子郵件中的任何拼寫錯誤或語法問題都應該觸發紅色警報;
任何文件附件——除非對源代碼進行了驗證,否則一條有效的經驗法則是永遠不要打開任何附件,尤其是包含.exe、.zip和.scr擴展名的附件;
單張或空白圖片——如果該郵件是電子郵件的截屏或空白框,但沒有真正的文本,請不要點擊圖片。惡意軟件代碼可能被綁定到圖像上,可以觸發自動下載。
2. 魚叉式網絡釣魚
魚叉式網絡釣魚(Spear Phishing)是一種更具針對性的電子郵件網絡釣魚方法,目標主要為
特定個人和組織。利用開源情報(OSINT),犯罪分子可以收集公開的信息,并針對整個企業或子部門。由于可以接觸到個人信息,他們可能會欺騙用戶,讓他們相信郵件是內部通信或來自一個值得信任的來源。
識別方法:
不尋常的請求——如果請求來自公司內部,要求獲得高出其級別的權限,請直接通過另一種溝通渠道聯系該人確認。在電子郵件被黑的情況下,使用直接通訊的方法也會有幫助;
到共享驅動器的鏈接——如果騙子假裝來自內部或其他值得信任的來源,就沒有必要共享一個您應該有權訪問的驅動器的鏈接。該鏈接很可能已經損壞,可以將您重定向到一個假網站;
未經請求的電子郵件——如果電子郵件在未經請求的情況下提供了一個“重要文件”供下載和查看,那么它可能是一個虛假的電子郵件。在打開之前一定要驗證發件人;
具體提及個人信息——騙子可能會試圖通過提供關于您的其他非必要信息,來證明自己是一個值得信賴的信息來源。應該對明顯試圖獲取您信任的行為存疑;
3. 鯨釣
鯨釣(Whaling)是一種進化形式的魚叉式網絡釣魚,針對的主要是高級管理人員和組織內其他特定人員,也被稱為“CEO欺詐”。這種攻擊類型通常要復雜得多,依賴于OSINT、對公司商業行為和社交媒體賬戶有非常深入的研究,因為攻擊者需要知道目標受害者與誰通信以及了解他們在討論的話題。
識別方法:
不正確的域名地址——除非郵件被黑,否則騙子會試圖使用類似但不正確的域名地址(例如@upgaurd.Con而不是@upguard.com)。在查看電子郵件通信時,保持謹慎是很重要的;
使用私人電子郵件——任何來自其他高管或業務伙伴的溝通都應該通過工作電子郵件進行,而絕不應該通過私人電子郵件。即使這個人在工作之外尋求幫助,也要通過另一個離線渠道直接與他們溝通,以核實他們的身份;
新的聯系請求——如果您從合作伙伴或供應商那里收到一封電子郵件,而他們從未跟您談過生意,這可能意味著釣魚企圖。建議通過適當的渠道與該帳戶的個人核實溝通。
4. 商業電子郵件欺詐
商業電子郵件欺詐(BEC)類似于鯨釣,但它并非試圖欺騙高管,而是冒充他們。犯罪分子會冒充或獲取具有決策權的高管電子郵件賬戶,然后向較低級別員工發送內部請求。
識別方法:
緊迫感——大型交易和重要的商業交易通常需要時間,在完成之前要經過很多人的審查。如果這封郵件聽起來特別緊急,而且收件人不超過2到3個人,就應該提高警惕;
不尋常的行為——復雜的BEC欺詐者會盡量讓自己聽起來更專業,但也可能會注意到語調或個性的差異。如果一位高管說話或寫作方式與平時不同,請密切關注釣魚攻擊的其他跡象;
沒有法律信函——所有的商業交易都應該有一個法律團隊或律師來確保合法性。如果郵件中沒有律師,就通過公司的指揮鏈找到正確的一方,以驗證郵件的合法性。
5. 語音網絡釣魚
語音網絡釣魚(Vishing)是指騙子使用電話、手機、網絡通信工具等發送經過偽裝的語音信息,從而進行網絡釣魚。新的復雜技術使犯罪分子可以欺騙來電顯示,偽裝成來自可靠來源。通常,打電話的人會制造一種緊迫感,以顯示自身的權威,干擾接收者清晰地思考。一些常用的vishing攻擊策略包括:
家庭成員有困難,需要金錢幫助;
美國國稅局需要您的社會安全號碼(SSN)來確認納稅申報表;
支付一小筆費用,兌換您沒有注冊的假獎品或假假期;
已經發出了對您的逮捕令;
車輛獲得延長保修期資格;
您的銀行賬戶有可疑活動;
向您保證投資機會的回報;
一大筆需要償還的債務;
識別方法:
被屏蔽或未識別的號碼——網絡釣魚電話往往來自被屏蔽的號碼。如果接電話時對方聽起來可疑,請立即掛斷;
索要敏感信息或金錢——政府機構總是通過官方郵件進行業務往來,絕不會通過電話索要您的個人信息。
6. HTTPS釣魚
HTTPS(超文本傳輸協議安全)網絡釣魚是一種基于url的攻擊,試圖欺騙用戶點擊一個看似安全的鏈接。HTTPS是瀏覽器和網站之間流量加密的標準協議,需要啟用TSL/SSL證書。在過去,瀏覽器可以檢測到沒有啟用HTTPS的網站,這是防止網絡犯罪的第一道防線。
然而,黑客現在可以免費獲得這些證書,并在他們的釣魚網站上添加HTTPS,這使得區分哪些是安全的,哪些是不安全的變得更加困難。
識別方法:
短網址——短鏈接可以隱藏鏈接的真實地址,是騙子隱藏網絡釣魚企圖的好方法。鏈接應該是他們的原始格式,以便您可以驗證其來源;
超鏈接文本——帶有可點擊鏈接的文本也會將您引向惡意網站。確保將鼠標懸停在鏈接上(不單擊它)以查看源URL;
URL拼寫錯誤——電子郵件域中的任何拼寫錯誤都是電子郵件是偽造的直接跡象。
7. 克隆釣魚
克隆網絡釣魚不是發送虛假郵件,而是通過創建于真實合法消息的幾乎相同的副本,以誤導受害者的一種攻擊方式。電子郵件是從類似于合法發件人的地址發送的,并且郵件的主體看起來與先前的郵件相同。唯一的區別是郵件中的附件或鏈接已被惡意郵件換出。攻擊者可能有一些說明,解釋必須重新發送或更新內容的原因,以使受害人”理解“為何再次收到“相同”消息。
該攻擊基于先前看到的合法消息,從而使用戶更有可能遭受攻擊。已經感染了一個用戶的攻擊者可以對另一個也接收到正在克隆的郵件的人使用此技術。在另一個變體中,攻擊者可能會創建一個具有欺騙性域名的克隆網站,以欺騙受害者。
識別方法:
重復郵件——識別復制網絡釣魚的最好方法是檢查您最近的郵件。如果出現了重復的鏈接,在最近的郵件中尋找任何可能是網絡釣魚跡象的新鏈接。總是驗證正確的鏈接,并將其與之前的電子郵件通信進行比較;
電子郵件地址拼寫錯誤——雖然是小錯誤,但假的電子郵件通常都有一個不太明顯的小錯誤;
超鏈接文本——當鼠標懸停在鏈接上時,瀏覽器會在屏幕左下方顯示真實地址。如果URL與鏈接的文本不匹配,就可能是釣魚的跡象。
8. 短信釣魚
短信釣魚(Smishing),類似于語音釣魚,但騙子并不會打電話,而是發送帶有鏈接或附件的SMS文本信息。由于個人電話號碼一般不太容易向公眾公開,所以人們往往更相信短信。據統計,98%的短信被閱讀以及45%被回復,而電子郵件的同類數字分別為20%和6%。然而,在如今的智能手機中,黑客也很容易通過短信url竊取個人數據。
識別方法:
不請自來的短信——除非您直接注冊了短信提醒,否則提供免費優惠券或您沒有使用的產品的交易記錄的短信都是明顯的網絡釣魚的跡象。其他策略可能要求您確認帳戶信息、檢查訂單狀態或驗證醫療信息;
未知數字——通過短信收到驗證碼或信息請求是一個危險信號。使用免費的號碼查詢服務,看看是否可以獲得更多關于短信來源的信息,或者聯系相關人員以獲得驗證。一個有用的經驗法則:不要點擊文本中提供的鏈接,不要參與其中。
身份驗證請求——如果您收到未經授權的身份驗證請求,則可能有人試圖訪問您的某個帳戶。如果您收到這些短信,應該立即更改密碼,以防止進一步訪問。
9. 彈出網絡釣魚(Pop-Up Phishing)
盡管大多數人的瀏覽器上都安裝了廣告或彈出窗口攔截器,但黑客仍然可以在網站上嵌入惡意軟件。它們可能出現在通知框中,或者看起來像網頁上的合法廣告。任何點擊這些彈出窗口或廣告的人都會感染惡意軟件。
識別方法:
瀏覽器通知——許多瀏覽器(包括Chrome和Safari)會在用戶訪問新網站時,提示用戶選擇“允許”或“拒絕”通知。瀏覽器不會過濾掉垃圾郵件通知,所以如果用戶不小心點擊了“允許”,惡意代碼就會自動下載;
新選項卡或窗口——沒有彈出攔截器的網頁瀏覽可能是危險的,特別是對于移動設備而言。訪問某些網站會觸發一個新的選項卡或窗口打開,其中包含下載惡意軟件的鏈接;
緊急消息——彈出窗口聲稱您需要更新防病毒軟件或更新訂閱是明顯的釣魚標志。您應該選擇在主站解決任何更新、支付,或帳戶問題,而不是通過一個無關的彈出網站。
10. 社交媒體網絡釣魚
除了電子郵件外,社交媒體也已成為網絡釣魚攻擊的流行攻擊載體。由于社交媒體展示了非常多的個人信息,攻擊者可以很容易地使用社交工程攻擊來訪問敏感數據。全球數十億人使用Facebook、Instagram、Snapchat和LinkedIn等平臺進行社交,這也增加了網絡釣魚的風險。
這些攻擊通常包含一個鏈接,可以將您發送到惡意網站,以竊取重要信息。在某些情況下,騙子會和您成為朋友,假裝有麻煩,試圖從您那里偷錢。最常用的策略包括:
優惠或網上折扣;
調查或競賽;
好友請求;
虛假視頻;
視頻或照片的評論;
識別方法:
可疑鏈接——即便您從朋友那里收到了一個鏈接,也有可能是他們的賬戶被黑了。如果鏈接包含拼寫錯誤或包含數字、字母和符號的隨機組合,那么最好忽略該鏈接;
可疑賬戶——如果您收到來自未知個人的消息或好友請求,不要接受。在幾乎所有情況下,這些賬戶幾乎沒有活動,因為它們是為了尋找網絡釣魚受害者而專門創建的新賬戶。
11. 燈籠式釣魚
燈籠式釣魚(Angler Phishing)是一種新型的、基于社交媒體的釣魚欺詐方法,通過仿冒對用戶有吸引力的賬號來進行網絡欺騙。
攻擊者可以通過冒充客戶支持人員將社交媒體網絡釣魚提升到另一個層次。騙子會創建一個假賬戶,并通過社交媒體賬戶上的評論或帖子與不滿的用戶聯系。在交互過程中,騙子在驗證了一些個人信息后提供幫助,然后提供一個鏈接來幫助解決問題。當然,該鏈接包含惡意軟件。
識別方法:
未經驗證的帳戶——一個公司的官方支持頁面或帳戶通常會經過驗證,并直接鏈接到主頁。如果像Twitter或Facebook這樣的大公司聯系您,確保他們的名字旁邊有一個藍色的勾號。您也可以在公司網站上查看他們的官方支持頁面或聯系方式;
缺乏檔案歷史記錄——即便是對于可能尚未得到驗證的小型企業來說,它們也應該會有大量其他客戶交互的歷史記錄。那些關注者很少、沒有帖子的賬戶很可能是一個全新的賬戶,試圖利用那些懶得查看的人。
12. 雙面魔童網絡釣魚
雙面魔童(evil twin)網絡釣魚會創建一個不安全的Wi-Fi熱點接入點,誘騙毫無戒心的用戶連接。一旦連接,所有入站和出站數據都可以被攔截,包括個人數據或財務信息。黑客還可以提示用戶訪問一個虛假的門戶網站,希望用戶提供有價值的身份驗證細節。
evil twin網絡釣魚攻擊最常發生在有免費Wi-Fi的公共場所,如咖啡店、圖書館、機場或酒店。防止成為evil twin網絡釣魚目標的最好方法是在使用公共Wi-Fi的同時使用虛擬專用網絡(VPN)。
識別方法:
重復的Wi-Fi熱點——如果您注意到多個Wi-Fi接入點有相同的名字,尋找一個安全的、需要密碼的連接。如果兩個訪問點都不安全,則強烈不建議連接;
不安全的警告——一些筆記本電腦或移動設備會觸發一個通知,告訴您所連接的網絡是不安全的。如果您收到此消息,請考慮連接到安全網絡或根本不連接。
13. 網站欺騙
攻擊者會創建一個完全虛假的網站,試圖竊取您的個人信息。一個制作精良的假網站會包含與原網站相同的元素,包括標識、文本、顏色和功能。金融、醫療保健和社交媒體等網站都是主要目標,因為它們通常包含您最重要的信息。
識別方法:
URL拼寫錯誤——攻擊通常會利用字符之間的相似性發起同構攻擊(homograph attack)。例如,您可能會注意到“rn”代替了“m”或“vv”而不是“w”。
網站錯誤——很少有仿冒網站能完美匹配原始網站。有時候,網站的logo像素會稍微高一些,或者您可能會注意到某些文字沒有對齊。如果發現任何異常,立即停止使用該網站,尤其是在通過電子郵件或消息發送的鏈接訪問該網站的情況下。建議保存原始網站的書簽,以便更輕松地訪問它。
14. 電子郵件域名欺騙
電子郵件域名欺騙是指騙子創建一個完全虛假的電子郵件域名,試圖欺騙用戶,讓他們相信自己是合法的。為了避免被發現,攻擊者可以編輯電子郵件的標題,使其包含合法域名的名稱,希望目標用戶不會檢查郵件實際發送的域名地址。因為在簡單郵件傳輸協議(SMTP)下沒有域名驗證,所以攻擊者可以很容易地欺騙電子郵件。
釣魚者也可以選擇隱藏發件人的地址,只顯示姓名。他們可能會嘗試使用目標用戶能夠識別的真實姓名,這樣他們就會打開郵件。當攻擊者將真實姓名和合法域名結合在標頭時,就可以很容易欺騙不知情的用戶。
域名欺騙與DNS欺騙不同,因為它創建一個全新的域,而非攻擊DNS服務器。
識別方法:
未經請求的郵件——任何意料之外的郵件,尤其是提出請求的郵件,都是釣魚企圖的跡象。仔細查看消息,并使用另一種通信渠道來驗證電子郵件;
電子郵件地址拼寫錯誤——假域名乍一看應該是合法的,但仔細一看,可能有同構攻擊。如果您懷疑電子郵件可能來自一個虛假域名,請將鏈接復制并粘貼到記事本或Microsoft Word文檔中,以識別任何拼寫錯誤。
15. DNS欺騙
DNS欺騙攻擊,也稱為DNS服務器投毒(DNS server poisoning)或網域嫁接(Pharming),是一種技術性更強的攻擊過程,需要網絡犯罪分子入侵域名服務器(DNS)——即將域名轉換為IP地址的服務器。當DNS服務器被黑客攻擊時,它可以自動將URL重定向到另一個IP地址下的惡意網站。
一旦用戶登錄到損壞的網站,可能會發生以下兩種情況之一:1)惡意軟件會自動下載到設備上,或2)可能會出現一個被欺騙的網站,提示用戶輸入登錄信息或要求確認個人信息或信用卡號碼。
識別方法:
不安全的網站——通常情況下,不安全的網站是釣魚企圖的標志,或者有被惡意軟件感染的風險。在大多數情況下,站點將以HTTP而不是HTTPS開始;
網站錯誤——虛假網站通常包含錯誤,包括拼寫錯誤、按鈕不起作用、圖像質量低、文本不對齊或錯誤的顏色。
16. 基于圖像的網絡釣魚
基于圖像的網絡釣魚(Image-based phishing)通常會出現在網絡釣魚郵件的內容中。除了超鏈接和惡意url外,圖像也可能包含指向受感染網站的鏈接。在某些情況下,包含的圖像可能是電子郵件中唯一具有釣魚意圖的東西,只是為了欺騙用戶,使其認為電子郵件是安全的。
識別方法:
嵌入圖像鏈接——將鼠標懸停在圖像上,檢查是否有一個非官方的第三方網站的鏈接。這個鏈接有拼寫錯誤嗎?一般來說,打開和閱讀郵件進行調查是安全的,只要你不點擊任何東西;
垃圾郵件——任何直接發送到垃圾郵件文件夾的郵件都可能是釣魚企圖的跡象,即使它看起來像是來自公司或個人的官方郵件。有許多方法使電子郵件看起來合法,但如果它被標記為垃圾郵件,則可能有釣魚元素被電子郵件服務器檢測到;
醒目的CTA按鈕——一個流行的網絡釣魚策略是包含一個吸引人的、引人注目的呼叫行動(CTA)按鈕,類似于銷售促銷郵件。那些盲目行動的人可能不會三思而后行,只是因為它告訴他們按下按鈕。在單擊CTA圖像之前,請確保驗證了發件人、url和電子郵件內容。
17. 搜索引擎網絡釣魚
在搜索引擎網絡釣魚中,騙子會根據高價值的關鍵詞和搜索創建合法頁面,讓它們在流行的搜索引擎上排名。這些頁面通常以吸引眼球的內容為特色,以吸引毫無戒心的用戶。一旦用戶登錄到這些頁面,他們被要求輸入銀行信息或他們的SSN。這些虛假頁面通常包括:
免費產品;
自由的假期;
投資機會;
折扣代碼;
工作機會;
約會匹配;
被電腦病毒感染;
識別方法:
千載難逢的機會——沒有什么是真正免費的,如果它聽起來好得令人難以置信,那么它很可能就有釣魚企圖。在你接受并開始輸入個人信息之前,做好盡職調查并適當地研究網站或offer。
制作拙劣的網站——許多這樣的網站制作得非常快,因為一旦被舉報,它們往往會被關閉。如果它看起來像一個低質量的網站,無論如何都要避免它。
18. 水坑攻擊
水坑攻擊(Watering Hole Phishing)是一種策略,通過感染目標經常訪問的第三方網站,將目標鎖定在一個特定的公司或群體。攻擊者發現并利用網站上的一個漏洞,用惡意軟件感染網站,然后通過發送電子郵件引導用戶訪問該網站來誘騙用戶。
盡管這種類型的攻擊比其他攻擊不常見,但一旦黑客感染了單個用戶,他們就可以訪問整個網絡和系統。其他網站訪問者也可能成為受害者,即使他們與主要目標群體沒有關系。
識別方法:
安全警報——釣魚攻擊的第一個跡象是您的殺毒軟件或反惡意軟件檢測到攻擊。這就是保持安全解決方案更新至關重要的原因所在。
安全測試——因為第三方風險很難控制,因此識別潛在網絡威脅的最佳方法就是不斷測試安全防御并安裝安全補丁。如果第三方站點訪問頻繁,安裝終端保護軟件可以有效防止水坑網絡釣魚攻擊。
19. 中間人(MITM)網絡釣魚
中間人(man-in-the-middle,MITM)網絡釣魚攻擊是指攻擊者攔截并改變通信鏈,有效地成為“中間人”。然后,攻擊者控制通信流,并負責發送和接收所有消息。當攻擊者攔截數據時,他可以操縱數據從雙方獲得個人信息。
識別方法:
通常,MITM攻擊很難檢測到,因為URL錯誤更有可能是另一種釣魚方法的結果。網絡管理員必須不斷地監視通信流量,以檢測被改變的通信。以下是一些值得警惕的信號:
不安全的網站——如果您正在瀏覽網頁,請務必查看瀏覽器搜索欄中URL旁邊的掛鎖。通常,鎖定的掛鎖表明該網站具有有效的SSL證書和HTTPS協議(而不是HTTP);
URL拼寫錯誤——如果URL拼寫錯誤或中間插入了隨機數,請使用不同的設備再次檢查該網站;
明顯較慢的消息傳遞——即時消息傳遞平臺在發送消息時通常很少或沒有延遲。然而,不使用端到端加密的平臺可能成為MITM攻擊的受害者。發送時間明顯變長的信息可能是攻擊的跡象。
