安全牛课堂丨5种常见的网络钓鱼攻击以及防护手段

进入 2023 年，网络钓鱼仍然像往年一样活跃在互联网的各个角落。2022 年 Verizon 数据泄露调查报告指出，去年 75% 的社会工程攻击涉及网络钓鱼，仅去年一年就有超过 33 万个账户被网络钓鱼，网络钓鱼占整体社会工程攻击的 41%。

不能将所有责任归咎于员工，因为薄弱的安全意识建设及宣教是大部分漏洞利用的原因。本文收集整理了5种最常见的网络钓鱼攻击类型，并给出防护建议。

01

欺骗性网络钓鱼

欺骗性网络钓鱼是最常见的网络钓鱼诈骗类型。在这种策略中，欺诈者冒充合法公司来窃取人们的个人数据或登录凭据。这些电子邮件通常使用威胁和紧迫感来吓唬用户做攻击者想要做的事情。

欺骗性网络钓鱼常见的方式

合法链接 

许多攻击者试图通过将合法链接合并到其欺骗性网络钓鱼电子邮件中来逃避电子邮件过滤器的检测。

混合恶意和良性代码

负责创建网络钓鱼登录页的人员通常将恶意和良性代码混合在一起以欺骗 Exchange 联机保护 （EOP）。

重定向和缩短链接 

攻击者不想向受害者发出任何危险信号。因此，他们使用缩短的 URL 来欺骗安全邮件网关 （SEG）。

修改品牌徽标

某些电子邮件过滤器可以发现攻击者何时窃取组织的徽标并将其合并到他们的攻击电子邮件或网络钓鱼登录页面上。他们通过寻找徽标的HTML属性来做到这一点。为了欺骗这些检测工具，攻击者会更改徽标的 HTML 属性，例如颜色等。

最少的电子邮件内容

攻击者试图通过在攻击电子邮件中包含最少的内容来逃避检测。例如，他们可能会选择通过图像而不是文本来执行此操作。

如何防御欺骗性网络钓鱼

欺骗性网络钓鱼的成功取决于攻击电子邮件在多大程度上类似于欺骗公司的官方信件。员工应仔细检查所有URL，以查看它们是否重定向到未知和/或可疑的网站。还应该注意通用称呼、语句错误和书写错误。

02

鱼叉式网络钓鱼

在鱼叉式网络钓鱼中，攻击者使用目标的姓名、职位、公司、工作电话号码和其他信息自定义他们的攻击电子邮件，以诱骗收件人相信他们与发件人有联系。它们的目标与欺骗性网络钓鱼相同：让受害者点击恶意 URL 或电子邮件附件，以便交出个人数据。

鱼叉式网络钓鱼常见的方式

在云服务上存储恶意文档

CSO报告称，攻击者越来越多地将恶意文档存储在云服务上。一般情况下，IT 不太可能阻止这些服务。

泄露令牌

CSO还指出，犯罪分子正试图破坏API令牌或会话令牌。在这方面的成功将使他们能够窃取对电子邮件账户或其他资源的访问权限。

收集外出通知

攻击者需要大量情报来发送令人信服的鱼叉式网络钓鱼活动。他们可以做到这一点的一种方法是向员工发送电子邮件并收集外出通知，以了解内部员工使用的电子邮件地址的格式。

探索社交媒体

攻击者需要了解谁在目标公司工作。他们可以通过使用社交媒体来调查组织的结构，并决定他们想挑出谁进行有针对性的攻击。

人工智能

人工智能可以做到抓取社交媒体网站的个人数据，使黑客更容易定制电子邮件和欺诈性通信。

如何防御鱼叉式网络钓鱼

为了防止此类骗局，企业应持续进行员工安全意识培训，其中包括阻止员工在社交媒体上发布敏感的个人或公司信息。公司还应该投资鱼叉式网络钓鱼预防解决方案，以分析入站电子邮件中的已知恶意链接/电子邮件附件。

03

捕鲸

“捕鲸”一般是指针对企业高管的网络钓鱼攻击。

作为商业电子邮件泄露 （BEC） 骗局的第二阶段，捕鲸是指攻击者滥用 CEO 或其他高级管理人员的受感染电子邮件账户，授权欺诈性电汇到他们选择的金融机构。

捕鲸常见的方式

渗透网络

被盗用高管的账户比欺骗性电子邮件账户更有效。攻击者因此可以使用恶意软件来渗透目标的网络。

跟进电话

攻击者跟进捕鲸电子邮件，并打电话确认电子邮件请求。

追踪供应链

攻击者者使用目标供应商和供应商的信息使他们的捕鲸电子邮件看起来像来自可信赖合作伙伴。

如何抵御捕鲸

捕鲸攻击之所以有效，是因为高管通常不会与员工一起参加安全意识培训。企业应强制要求所有公司人员（包括高管）持续参加安全意识培训。

企业还应考虑在其财务授权流程中注入多因素身份验证渠道，以便没有人可以单独通过电子邮件授权付款。

04

通讯钓鱼

到目前为止，我们已经讨论了大部分依赖于电子邮件的网络钓鱼攻击。但攻击者有时会转向其他媒介进行攻击。

例如通讯钓鱼这种类型的攻击无需发送电子邮件，而是拨打电话。攻击者可以通过设置互联网协议语音（VoIP）服务器来模仿各种实体来窃取敏感数据和/或资金，从而实施网络钓鱼活动。

通讯钓鱼常见的方式

技术术语

如果攻击者针对公司的员工，他们可能会通过使用技术术语来冒充内部技术人员诱导员工交出他们的信息。

ID欺骗

攻击者伪装他们的电话号码，使他们的呼叫看起来像是来自目标区号中的合法电话号码。

如何防御通讯钓鱼

为了防止通讯钓鱼攻击，用户应避免接听来自未知电话号码的呼叫，切勿通过电话泄露个人信息，并使用来电显示应用程序。

05

短信钓鱼

通讯钓鱼并不是使用手机实施的唯一网络钓鱼类型。例如短信诈骗。此方法利用恶意短信诱骗用户单击恶意链接或提交个人信息。

短信钓鱼常见的方式

恶意应用下载

攻击者可以使用恶意链接触发自动下载。然后，这些应用程序可以部署勒索软件或使恶意行为者能够远程控制他们的设备。

链接到数据窃取表单

攻击者可以利用短信以及欺骗性网络钓鱼技术来诱骗用户单击恶意链接。然后，该活动可以将他们重定向到旨在窃取其个人信息的网站。

提示用户联系技术支持：使用这种类型的攻击策略，恶意行为者会发送短信，提示收件人联系电话号码以获得客户支持。然后，诈骗者将伪装成合法的客户服务代表，并试图诱骗受害者交出他们的个人数据。

如何防御短信钓鱼

用户可以通过屏蔽/拦截未知电话号码的短信内容来阻止钓鱼事件发生。

06

总结

综上所述，企业可以了解一些较为常见的网络钓鱼攻击类型。即便如此，也并不意味着百分百安全。网络钓鱼随着网络也在不断发展，同时采用新的形式和技术。所以企业必须持续进行安全意识培训，以便其员工和高管能够掌握网络钓鱼的发展。这与自动化安全方法齐头并进，可与当今的网络钓鱼趋势保持同步，并构建面向未来的防御所需的策略。