《云智信安网络安全术语》 第7期 网络钓鱼

《云智信安 网络安全术语》

第七期

原意：钓鱼原本是指人类生产生活中的一种捕鱼方式或活动。网络钓鱼是一种社会工程活动，攻击者发送欺诈性（例如，欺骗、伪造或其他欺骗性）消息，诱骗某人向攻击者泄露敏感信息或在受害者的基础设施上部署恶意软件，例如勒索软件。网络钓鱼攻击变得越来越复杂，并且经常透明地反映目标站点，允许攻击者在受害者浏览站点时观察所有内容，并跨越受害者的任何额外安全边界。

根据维基百科的介绍，“网络钓鱼”一词的首次有记录使用是在Koceilah Rekouche于1995年创建的破解工具包AOHell中。

电子邮件网络钓鱼

大多数网络钓鱼邮件都是通过垃圾邮件传递进行“批量”网络钓鱼。批量网络钓鱼消息的内容因攻击者的目标而有很大差异，模拟的常见目标包括银行和金融服务、电子邮件和云生产力提供商以及流媒体服务。攻击者可能会使用获得的凭据直接从受害者那里窃取资金，尽管受损账户通常被用作执行其他攻击的起点，例如盗窃专有信息、安装恶意软件或对目标组织内的其他人进行鱼叉式网络钓鱼。

Ø鱼叉式网络钓鱼

鱼叉式网络钓鱼是电子邮件网络钓鱼的一种，涉及攻击者通过定制的网络钓鱼通信直接针对特定组织或个人。

Ø捕鲸和CEO欺诈

捕鲸是网络钓鱼是电子邮件网络钓鱼的一种，指专门针对高级管理人员和其他知名目标的鱼叉式网络钓鱼攻击。

Ø克隆网络钓鱼

克隆网络钓鱼是一种网络钓鱼攻击，其中包含附件或链接的合法且先前发送的电子邮件已获取其内容和收件人地址，并用于创建几乎相同或克隆的电子邮件。

语音网络钓鱼

语音网络钓鱼是使用电话（通常是IP电话）进行网络钓鱼攻击的一种网络钓鱼方式。

短信网络钓鱼

短信网络钓鱼类似于电子邮件网络钓鱼，攻击者使用手机短信来传递钓鱼信息。

页面劫持

页面劫持是指通过破坏合法网页，以便利用跨站点脚本将用户重定向到恶意网站或漏洞利用工具包，也可以归类到网络钓鱼攻击的大范畴内。

日历网络钓鱼

日历网络钓鱼是指通过日历邀请传递网络钓鱼链接。发送日历邀请，默认情况下会自动添加到许多日历中，从而达到网络钓鱼目的。

网络钓鱼采用技术

Ø链接操作

Ø过滤器规避

Ø社会工程学

反网络钓鱼手段

安全意识培训

安全意识培训被证明是非常的一种防钓鱼攻击的手段，通过训练人们识别网络钓鱼能力及处理防范，可能有效降低对组织的钓鱼攻击。在培训强调概念知识并提供直接反馈的情况下。安全意识培训作为反网络钓鱼策略的重要组成部分积极教育其用户，快速识别网络钓鱼诈骗并采取相应行动。随着网络钓鱼攻击的不断演进，安全意识教育培训应定期开展，而不可能一劳永逸。

反网络钓鱼技术

Ø过滤网络钓鱼邮件

安装专门的垃圾邮件过滤产品，可以有效减少收件人收件箱的网络钓鱼电子邮件的数量。

Ø浏览器提醒欺诈性网站

护已知网络钓鱼站点的列表，通过列表检查网站进行警示性提醒用户，可以很好的阻截网络钓鱼攻击。现在很多浏览器本身都提供这方面的功能，应当留意提醒信息，并保持警惕。

Ø监控和删除

通过监测网络异常或邮件异常，可以有效降低网络钓鱼攻击，很多组织通过全天候服务，以监控、分析和协助关闭网络钓鱼网站。

Ø验证和签名

随着智能手机的普及，使用移动电话（智能手机）作为银行交易验证和授权的第二个渠道也是一种解决方案。

Ø多因素身份验证

双因素或多因素认证是有效组织网络钓鱼攻击的一种方式，组织可以实施双因素或多因素身份验证(MFA)。

法律处罚

法律监管是有效打击网络钓鱼者的一种手段，有效打击各类网络违法犯罪，犯罪分子少了或被震慑了，自然可以大量减少网络钓鱼攻击，这个也适用于其他类型的网络攻击。

2022年第一度钓鱼报告概况

2022年第一季度，反网络钓鱼工作组(APWG)共观察到1,025,968次网络钓鱼攻击。这是APWG观察到的网络钓鱼最严重的季度，也是季度总数首次超过100万。

大多数行业的勒索软件攻击总数有所减少，但金融服务行业的攻击次数在2022年第一季度增加了35%。

针对企业用户的凭证盗窃网络钓鱼增加了7%。

在社交媒体上冒充企业高管是越来越多观察到的商业风险。

金融行业是第一季度网络钓鱼受害最严重的行业，占所有攻击的23.6%。针对SaaS和web邮件提供商的攻击仍然非常多。针对加密货币目标的网络钓鱼攻击占攻击的6.6%。

END

原文始发于微信公众号（祺印说信安）：《云智信安网络安全术语》 第7期 网络钓鱼