概述

当网络威胁行为者伪装成合法实体向个人或一小群用户发送有针对性的电子通信，试图获得对私人、敏感或受限内容的未经授权的访问时，就会发生鱼叉式网络钓鱼。鱼叉式网络钓鱼电子邮件旨在对收件人进行社交工程响应。通过响应，收件人可能会无意中泄露信息或点击链接到旨在获取信息（例如登录凭据）的欺诈网站。一旦被网络威胁行为者收集，受害者的信息或登录凭据可能会被用来进一步危害系统和网络。通常，鱼叉式网络钓鱼尝试会人为地施加时间限制，以营造一种紧迫感，从而影响受害者的初步判断。

技术建议

其他类型的网络钓鱼包括：

•短信钓鱼（“短信网络钓鱼”）涉及用户在移动设备上打开恶意短信或文本消息。

•网络钓鱼涉及网络威胁行为者试图通过IP语音(VoIP)电话收集信息。

•捕鲸是针对高级管理人员或其他知名目标的鱼叉式网络钓鱼尝试。

• 
  

• 使用警告横幅标记来自外部来源的电子邮件。
• 在电子邮件网关上实施过滤器，以筛选出具有已知网络钓鱼指标（例如已知恶意主题行）的电子邮件，并阻止可疑链接。
• 遵守最小特权原则。如果用户不需要管理访问权限即可执行日常活动，则他们不应拥有管理账户。这可以最大限度地减少根据用户凭据进行的恶意活动造成的损害。
• 实施基于域的消息身份验证、报告和一致性(DMARC)，这是一种验证系统，可通过使用域名系统(DNS)记录和数字签名检测电子邮件欺骗来最大限度地减少垃圾邮件。

组织推荐

• 为员工提供社会工程和网络钓鱼培训。敦促他们不要打开可疑电子邮件、点击此类电子邮件中包含的链接、在线发布敏感信息，并且切勿针对任何未经请求的请求提供用户名、密码和/或个人信息。

• 使用CIS提供的服务进行有组织的网络钓鱼练习，以测试和强化概念。
• 实施标准化协议，向信息技术(IT)部门报告网络钓鱼尝试。

用户推荐

• 
  

• 不要打开可疑电子邮件或点击未知链接。检查链接的最简单方法是将鼠标悬停在链接上。这使得链接的真正目标显示在浏览器窗口的左下角或Microsoft  Outlook中的鼠标指针旁边。
• 切勿在回复电子邮件时透露个人或财务信息。合法组织绝不会在未经请求的电子邮件中要求提供此信息。
• 如果该邮件看起来是网络钓鱼电子邮件，请不要回复。立即向IT部门报告并等待进一步指示。

原文始发于微信公众号（河南等级保护测评）：网络​安全入门–鱼叉式网络钓鱼