网络安全知识：什么是网络钓鱼

admin

100797
文章

86
评论

2023年1月17日19:12:41评论18 views字数 6586阅读21分57秒阅读模式

回复“djcp1126”获取“2022网络钓鱼的范围和分布的年度研究”翻译版

什么是网络钓鱼？

定义

网络钓鱼是指攻击者发送旨在诱骗人们上当受骗的恶意电子邮件。其目的通常是让用户泄露财务信息、系统凭据或其他敏感数据。

网络钓鱼是社会工程的一个例子：诈骗艺术家用来操纵人类心理的一系列技术。社会工程技术包括伪造、误导和撒谎——所有这些都可能在网络钓鱼攻击中发挥作用。在基本层面上，网络钓鱼电子邮件使用社会工程来鼓励用户在没有考虑清楚的情况下采取行动。

网络安全知识：什么是网络钓鱼

网络钓鱼的历史

“网络钓鱼”一词出现在1990年代中期，当时黑客开始使用欺诈性电子邮件从毫无戒心的用户那里“获取”信息。由于这些早期的黑客通常被称为“飞客”，因此该术语被称为“网络钓鱼”，带有“ph”。网络钓鱼电子邮件试图引诱人们并让他们上钩。而且，一旦他们上钩，用户和组织都会遇到麻烦。

与许多常见威胁一样，网络钓鱼的历史始于1990年代。当AOL是一个可以访问互联网的流行内容系统时，攻击者使用网络钓鱼和即时消息来伪装成AOL员工，诱骗用户泄露他们的凭据以劫持账户。

在2000年代，攻击者转向银行账户。网络钓鱼电子邮件被用来诱骗用户泄露他们的银行账户凭据。这些电子邮件包含一个指向看起来像官方银行网站的恶意网站的链接，但该域是官方域名的类似变体（例如，paypai.com而不是paypal.com）。后来，攻击者利用被劫持的凭据窃取其他账户（例如eBay和Google）来窃取资金、进行欺诈或向其他用户发送垃圾邮件。

网络安全知识：什么是网络钓鱼

为什么网络钓鱼是一个问题？

网络犯罪分子使用网络钓鱼电子邮件是因为它简单、便宜且有效。电子邮件地址很容易获得，而且电子邮件几乎可以免费发送。攻击者只需很少的努力和成本，就可以快速访问有价值的数据。那些陷入网络钓鱼诈骗的人最终可能会感染恶意软件（包括勒索软件）、身份盗用和数据丢失。

网络犯罪分子追踪的数据包括个人身份信息(PII)——如财务账户数据、信用卡号码以及税务和医疗记录——以及敏感的商业数据，如客户姓名和联系信息、专有产品机密和机密通信。

网络犯罪分子还使用网络钓鱼攻击来直接访问电子邮件、社交媒体和其他账户，或获得修改和破坏连接系统的权限，例如销售点终端和订单处理系统。许多最大的数据泄露事件——比如引人注目的2013年Target泄露事件——都是从网络钓鱼电子邮件开始的。使用看似无害的电子邮件，网络犯罪分子可以获得一个小小的立足点并以此为基础。

网络钓鱼电子邮件是什么样的？

攻击者以恐惧和紧迫感为食。攻击者通常会告诉用户，如果目标用户不回复电子邮件，他们的账户将受到限制或将被暂停。恐惧使目标用户忽略了常见的警告信号并忘记了他们的网络钓鱼教育。即使是管理员和安全专家也偶尔会陷入网络钓鱼。

通常，网络钓鱼电子邮件会发送给尽可能多的人，因此问候语是通用的。

网络安全知识：什么是网络钓鱼

在上面的消息中，没有提到用户的名字，紧迫感是为了利用恐惧来诱使用户打开附件。

附件可以是网页、shell脚本（例如PowerShell）或带有恶意宏的Microsoft Office文档。宏和脚本可用于下载恶意软件或诱骗用户泄露其账户凭据。

攻击者注册的域名与官方域名相似，或者他们偶尔会使用Gmail等通用提供商。欺骗发件人可能使用电子邮件协议，但大多数收件人服务器使用检测欺骗性电子邮件标头的电子邮件安全性。当用户收到邮件时，邮件可能会使用公司官方标志，但发件人地址不会包含公司官方域名。发件人地址只是一个警告信号，但它不应该是唯一用于确定消息合法性的东西。

网络钓鱼电子邮件中使用的主要机制

网络犯罪分子在网络钓鱼电子邮件中使用三种主要机制来窃取信息：恶意Web链接、恶意附件和欺诈性数据输入表单。

恶意网页链接

链接，也称为URL，通常在电子邮件和网络钓鱼电子邮件中很常见。恶意链接会将用户带到冒名顶替网站或感染恶意软件（也称为恶意软件）的网站。恶意链接可以伪装成可信链接，并嵌入电子邮件的徽标和其他图像中。

以下是美国大学康奈尔大学用户收到的电子邮件示例。这是一条简单的消息，显示“Help Desk”作为发件人的姓名（尽管该电子邮件并非来自大学的帮助台，而是来自@connect.ust.hk 域）。根据康奈尔大学的 IT 团队的说法，电子邮件中嵌入的链接将点击者带到了一个看起来像 Office 365 登录页面的页面。此网络钓鱼电子邮件试图窃取用户凭据。

网络安全知识：什么是网络钓鱼

恶意附件

这些看起来像合法的文件附件，但实际上感染了可能危及计算机及其文件的恶意软件。在勒索软件（一种恶意软件）的情况下，PC 上的所有文件都可能被锁定且无法访问。或者可以安装击键记录器来跟踪用户键入的所有内容，包括密码。同样重要的是要意识到勒索软件和恶意软件感染可以从一台 PC 传播到其他联网设备，例如外部硬盘驱动器、服务器甚至云系统。

以下是国际托运人 FedEx 在其网站上共享的网络钓鱼电子邮件文本示例。这封电子邮件鼓励收件人打印附上的邮政收据副本，然后将其带到联邦快递地点以获取无法投递的包裹。不幸的是，附件包含感染收件人计算机的病毒。这些类型的运输诈骗的变化在圣诞节购物季节特别常见，尽管它们全年都可以看到。

欺诈性数据输入表格

这些电子邮件会提示用户填写敏感信息，例如用户 ID、密码、信用卡数据和电话号码。一旦用户提交了该信息，网络犯罪分子就可以利用该信息谋取私利。

这是在 gov.uk 网站上共享的虚假登录页面的示例。单击网络钓鱼电子邮件中的链接后，用户会被引导到这个欺诈性页面，该页面似乎是 HMRC 税收机构的一部分。用户被告知他们有资格获得退款，但必须填写表格。网络犯罪分子可以将此类个人信息用于许多欺诈活动，包括身份盗用。

网络安全知识：什么是网络钓鱼

常见的网络钓鱼主题行

电子邮件主题决定了用户是否会打开该邮件。在网络钓鱼攻击中，主题行将利用用户的恐惧和紧迫感。

网络安全知识：什么是网络钓鱼

攻击者通常会使用涉及账户、货运、银行详细信息和金融交易问题的消息。假期期间发货消息很常见，因为大多数人都在期待送货。如果用户没有注意到发件人地址中的域不合法，则用户可能会被诱骗点击链接并泄露敏感数据。

网络钓鱼攻击的类型

网络钓鱼已经演变成不仅仅是简单的凭证和数据盗窃。攻击者开展活动的方式取决于网络钓鱼的类型。网络钓鱼的类型包括：

鱼叉式网络钓鱼：这些电子邮件被发送给组织内的特定人员，通常是高权限账户持有人。

链接操纵：消息包含指向看起来像官方业务的恶意站点的链接。

CEO欺诈：这些信息主要发送给财务人员，以诱骗他们相信CEO或其他高管要求他们转账。CEO欺诈属于网络钓鱼的范畴，但攻击者不是欺骗流行网站，而是欺骗目标公司的CEO。

内容注入：可以将恶意内容注入官方网站的攻击者会诱骗用户访问该网站，向他们显示恶意弹出窗口或将他们重定向到钓鱼网站。

恶意软件：被骗点击链接或打开附件的用户可能会将恶意软件下载到他们的设备上。

Smishing：攻击者使用SMS消息诱骗用户从他们的智能手机访问恶意网站。

Vishing：攻击者使用语音转换软件来留言，告诉目标受害者他们必须拨打一个可能被骗的号码。

“Evil Twin” Wi-Fi：攻击者通过欺骗免费Wi-Fi，诱骗用户连接到恶意热点，从而执行中间人攻击。

真实世界的网络钓鱼示例

攻击者进行网络钓鱼活动的方式取决于他们的目标。对于企业来说，攻击者使用假发票来欺骗应付账款部门汇款是很常见的。在这种攻击中，发送者并不重要。许多供应商使用个人电子邮件账户开展业务。

网络安全知识：什么是网络钓鱼

此示例中的按钮打开一个带有欺诈性Google身份验证表单的网页。该页面试图欺骗目标受害者输入他们的Google凭据，以便攻击者窃取账户。

攻击者使用的另一种方法是假装他们是内部技术支持。技术支持电子邮件要求用户安装消息系统、带有隐藏恶意软件的应用程序，或运行将下载勒索软件的脚本。用户应留意这些类型的电子邮件并将其报告给管理员。

什么是网络钓鱼工具包？

由于网络钓鱼是有效的，攻击者使用网络钓鱼工具包来简化设置。它是网络钓鱼活动的后端组件。该工具包包括网络服务器、网站元素（例如，官方网站的图像和布局）以及用于收集用户凭据的存储。另一个组件是注册域。犯罪分子注册了数十个域以与网络钓鱼电子邮件一起使用，以便在垃圾邮件过滤器检测到它们为恶意时快速切换。通过拥有数十个域，犯罪分子可以更改网络钓鱼URL中的域并将邮件重新发送到其他目标。

网络钓鱼工具包还旨在避免检测。后端脚本将阻止属于安全研究人员和防病毒组织（例如McAfee、Google、Symantec和Kaspersky）的大量IP地址，使他们无法找到网络钓鱼域。对于安全研究人员来说，网络钓鱼中使用的域看起来像是一个合法的无害网站，但它会向目标用户显示网络钓鱼内容。

发生在哪里

重要的是要认识到在家里或工作场所遭受网络钓鱼攻击的后果。以下是陷入网络钓鱼电子邮件可能引起的一些问题：

在你的个人生活中

从银行账户中盗取的钱。

信用卡欺诈性收费。

以个人名义提交的纳税申报表。

以个人名义开立的贷款和抵押贷款。

无法访问照片、视频、文件和其他重要文档。

在个人账户中发布的虚假社交媒体帖子。

在工作

公司资金流失。

暴露客户和同事的个人信息。

外部人员可以访问机密通信、文件和系统。

文件被锁定且无法访问。

损害雇主名誉。

因违反合规而导致的财务罚款。

公司价值损失。

投资者信心下降。

影响收入的生产力中断。

网络钓鱼和远程工作

大流行改变了大多数组织和员工的工作方式。远程工作成为标准，因此企业设备和个人设备存在于用户的工作场所。工作环境的这种变化为攻击者提供了优势。用户在家中没有企业级网络安全，因此电子邮件安全效率较低，使攻击者更有可能成功进行网络钓鱼活动。

由于员工现在在家工作，因此组织对他们进行网络钓鱼意识培训更为重要。大流行之后，冒充高管和官方供应商的行为有所增加。由于员工仍然需要访问公司系统，攻击者可以针对任何在家的员工来远程访问环境。管理员被迫快速设置远程访问，因此为了方便起见，环境的网络安全被搁置一旁。这种迫不得已的紧迫性给攻击者提供了可以被利用的漏洞，其中许多漏洞是人为错误。

将糟糕的网络安全性与用户连接自己的设备相结合，攻击者拥有众多优势。网络钓鱼在全球范围内增加。谷歌报告称，在大流行封锁之后，网络钓鱼网站在2020年初激增了350%。

最有针对性的行业

大多数网络钓鱼的目标是经济利益，因此攻击者主要针对特定行业。目标可以是整个组织或其个人用户。最受关注的行业包括：

在线商店（电子商务）。

社交媒体。

银行和其他金融机构。

支付系统（商户卡处理器）。

IT公司。

电信公司。

送货公司。

被模仿最多的品牌

为了欺骗尽可能多的人，攻击者使用知名品牌。知名品牌会激发对接收者的信任，这将增加攻击成功的机会。任何常见的品牌都可以用于网络钓鱼，但一些常见的品牌是：

谷歌

微软

亚马逊

追赶

富国银行

美国银行

苹果

领英

联邦快递

DHL

网络钓鱼防护

网络钓鱼防护是公司可以采取的一项重要安全措施，以防止对其员工和组织的网络钓鱼攻击。当电子邮件看起来或感觉可疑时，围绕标志进行安全意识培训和教育肯定有助于减少成功的妥协。但是，由于用户行为不可预测，因此安全解决方案驱动的网络钓鱼检测通常至关重要。

教育扩展到现实世界的示例和练习将帮助用户识别网络钓鱼。组织与专家合作向员工发送模拟网络钓鱼电子邮件并跟踪哪些人打开电子邮件并单击链接是很常见的。这些员工可以接受进一步培训，这样他们就不会在未来的攻击中犯同样的错误。

一些基于电子邮件网关信誉的解决方案确实能够根据嵌入式URL的已知不良信誉来捕获和分类网络钓鱼电子邮件。这些解决方案遗漏的往往是精心设计的网络钓鱼邮件，其URL来自受感染的合法网站，这些网站在发送电子邮件时声誉良好。

最有效的系统基于异常分析来识别可疑电子邮件，它会在流量中寻找异常模式以识别可疑电子邮件，然后重写嵌入式URL并持续监视URL以进行页内攻击和下载。这些监控工具可以隔离可疑的电子邮件，以便管理员可以研究正在进行的网络钓鱼攻击。如果检测到大量网络钓鱼电子邮件，管理员可以提醒员工并降低有针对性的网络钓鱼活动成功的机会。

网络安全格局不断发展，尤其是在网络钓鱼领域。对于公司而言，始终与员工沟通并向他们介绍最新的网络钓鱼和社会工程技术至关重要。让员工了解最新威胁可降低风险并在组织内形成网络安全文化。

网络钓鱼统计

网络钓鱼对个人和企业构成巨大威胁。以下网络钓鱼统计数据提供了一些关于网络钓鱼攻击的普遍性和严重性的信息：

241,324

2020年报告了网络钓鱼攻击，估计比2019年报告的114,702起事件增加了110%。

75%

的美国调查受访者已成为网络钓鱼的受害者。

96%

的网络钓鱼攻击是使用电子邮件传递的。

392万美元

是组织成为网络钓鱼活动的受害者后的平均成本。

如果成为受害者该怎么办

在将信息发送给攻击者后，很可能会泄露给其他诈骗者。可能会收到网络钓鱼和短信、新的网络钓鱼电子邮件和语音电话。始终对要求您提供信息或财务详细信息的可疑消息保持警惕。

美国是有个联邦贸易委员会有一个专门用于身份盗窃的网站，以帮助减轻损失并监控您的信用评分。如果您单击链接或打开可疑附件，则您的计算机可能安装了恶意软件。要检测和删除恶意软件，请确保您的防病毒软件是最新的并且安装了最新的补丁。而我国反电信网络诈骗专用号码：96110，还有反诈APP等，均可通过这些渠道报告相关信息。