网络钓鱼
网络钓鱼是试图欺骗用户放弃信息或采取某些行动。许多恶意软件攻击都涉及某种类型的网络钓鱼。一种常见的技术是发送大量电子邮件,旨在诱使收件人单击声称是某些金融机构网站但实际上是网络钓鱼网站的链接。
鱼叉式网络钓鱼使用与网络钓鱼相同的技术,但采用的是有针对性的方式。例如,如果攻击者想要进入国防承包商的服务器,他们可能会制作电子邮件和网络钓鱼网站,专门针对该公司的软件和网络工程师。这些电子邮件可能是为了吸引特定的人群,或者攻击者甚至可能花时间了解其中一些人的个人详细信息并专门针对他们。这种技术已被用来对付多家公司的高管。2010年和2011年,这个问题开始显着加剧。
捕鲸是网络钓鱼的一种形式,攻击者试图泄露有关特定高价值员工的信息。它涉及与网络钓鱼相同的技术,但经过高度定制,以增加单个目标被愚弄并实际响应网络钓鱼尝试的机会。
克隆网络钓鱼是一种网络钓鱼形式,以带有附件或链接的合法电子邮件开始。该电子邮件被复制并修改以包含一些恶意内容。该电子邮件似乎来自合法来源。
网络钓鱼是通过电话对话进行的网络钓鱼的名称。攻击者说服用户泄露私人、个人和财务信息或有关他人或公司的信息。语音网络钓鱼通常用于窃取信用卡号码或身份盗窃计划中使用的其他信息。攻击者在执行语音网络钓鱼攻击时可能会冒充和欺骗来电显示来迷惑自己。
短信诈骗是短信网络钓鱼的一个术语。短信或短信用于诱导受害者点击链接或拨打电话号码。这会导致尝试从受害者那里提取一些敏感信息。
网络钓鱼的一种变体称为域欺骗,该术语用于描述威胁行为者将受害者从有效网站或资源重定向到恶意网站或恶意网站,该恶意网站或资源可能对用户显示为有效网站。从那里,尝试从用户那里提取机密信息或在受害者的系统中安装恶意软件。域欺骗可以通过更改受害者系统上的主机文件、DNS 中毒或利用 DNS 服务器中的漏洞来完成。
无论何种形式,网络钓鱼都是社会工程的一种形式。以下是社会工程师使用的几种激励技巧:
·权威:社会工程师表现出自信,或许还有权威——无论是法律、组织还是社会权威。
·稀缺性和紧迫性:可以利用稀缺性在决策中营造紧迫感。可以使用特定的语言来提高紧迫性并操纵受害者。销售人员经常利用稀缺性来操纵客户(例如,告诉客户报价仅限今天或供应有限)。社会工程师使用类似的技术。
·社会证明:社会证明是一种心理现象,个体无法确定适当的行为模式。例如,您可能会看到其他人以某种方式行事或做某事,并可能认为这是适当的。当一个人进入不熟悉的情况并且不知道如何处理时,社会工程师可能会使用这种策略。社会工程师可以使用这种技术同时操纵多个人。
·相似度:个人可能会受到他们喜欢的事物或人的影响。社会工程师努力让别人喜欢他们的行为、外表和谈话方式。大多数人都喜欢美观的东西。人们也喜欢被赞赏并谈论自己。社会工程师利用这些人类弱点来操纵受害者。
·恐惧:可以通过恐惧来操纵一个人,促使他们迅速采取行动。恐惧是一种令人不愉快的情绪,基于对可能发生不好或危险的事情的信念。社会工程师利用恐惧,迫使受害者迅速采取行动,以避免或纠正感知到的危险或痛苦的情况。
正如您可能猜测的那样,其中许多方法通常组合成一个方法。例如,在网络钓鱼活动中,权威和恐惧可以很好地结合在一起。
网络钓鱼示例
网络钓鱼有多种变体,我们不可能涵盖所有变体。但在本节中,我们将研究一些常见的网络钓鱼攻击。
异常活动骗局
这种骗局很常见。该消息将声称来自 Microsoft 或其他一些大公司,并指出您的账户存在可疑活动。我们鼓励您单击链接并验证您的账户活动。目标是让您(受害者)点击该链接。这可能会导致一个页面向您寻求信息,例如您该账户的登录信息,或者可能会下载恶意软件,可能是特洛伊木马。
商业电子邮件泄露
商业电子邮件泄露是一种网络钓鱼攻击,旨在利用商业电子邮件将资金转移给攻击者。FBI 对这一骗局的描述如下:
“在 BEC 诈骗中,犯罪分子会发送一封看似来自已知来源的电子邮件,提出合法请求,例如以下示例:
·与您公司经常打交道的供应商会发送包含更新的邮寄地址的发票。
·一位公司首席执行官要求她的助手购买数十张礼品卡作为员工奖励。她索要序列号,以便立即通过电子邮件发送出去。
·购房者收到来自产权公司的消息,其中包含如何电汇首付款的说明。
这些场景的版本发生在真实的受害者身上。所有消息都是假的。在每一起案件中,都有数千甚至数十万美元被送往犯罪分子手中。”
不幸的是,这种特殊的骗局及其变体非常常见。商业电子邮件泄露也不是什么新鲜事。银行至少早在 2015 年就已警告客户注意这种危险。2014年,美国公司因商业电子邮件泄露而损失了 1.79 亿美元。Forrester 至少早在 2013 年就发布了有关商业电子邮件泄露的报告。2013 年,美国联邦调查局 (FBI) 将商业电子邮件泄露描述为“新兴威胁”。这些典型的引文表明,商业电子邮件泄露并不是一个新现象。多年来,政府、银行和行业团体一直就这一问题向企业发出警告。
FBI 提供有关如何避免商业电子邮件泄露攻击的指南。最简单的步骤是电子邮件收件人应采取的步骤:“如果可能,请亲自验证付款和购买请求,或者致电该人以确保其合法性。您应该与提出请求的人核实账号或付款程序的任何更改。”
许多银行也提供类似的指导。Microsoft 还建议致电以验证电子邮件中的信息,AARP和许多其他来源一样。
关于如何避免商业电子邮件泄露的所有这些建议的共同主题是发送付款/资金的一方在发送任何资金之前验证信息。此类验证应在辅助通信渠道中完成,而不是通过电子邮件进行。最常建议打电话。更简洁地说,微软、联邦调查局、美国退休人员协会、众多银行和许多其他来源都建议人们在汇款之前花几分钟时间拨打电话并验证信息。
防御网络钓鱼
防御网络钓鱼的主要手段是最终用户教育。必须让用户意识到网络钓鱼的危险,并教导用户在处理传入的信息请求时要小心谨慎或单击某个链接。对最终用户进行本章中常见攻击的教育也是防御网络钓鱼的一个很好的步骤。
然而,反恶意软件软件通常可以帮助减少网络钓鱼。鉴于网络钓鱼通常用于让受害者打开链接或下载软件,扫描链接和检查附件是否存在恶意软件的技术可以帮助减轻这种威胁。然而,您不能依靠这种技术来捕获每一次攻击。这就是为什么用户教育非常重要。
Norton提供了 18 条避免网络钓鱼的指南:
其中一些,例如第 16-18 项,是不言自明的。虚假的取消订阅消息有一些解释。我们都经常收到允许我们取消订阅的消息。然而,这些可能只是网络钓鱼电子邮件。例如,取消订阅电子邮件会为您提供一个链接,但该链接需要一些信息才能取消订阅。除非您有合理的理由相信您确实需要或希望取消订阅某些内容,否则请勿单击取消订阅消息。
避免越狱设备适用于手机。越狱是用户更改 iPhone 使其完全解锁并可以访问敏感系统功能的过程。Android 中类似的事情称为 root。当你root了你的手机后,你的手机的安全性就被削弱了。
“随时了解情况”指的是了解最新的威胁。对于网络管理员来说,这可能涉及关注威胁情报新闻源,以便您可以了解最新趋势并向最终用户通报情况。如图显示了PhishTank.org网站,该网站跟踪并验证网络钓鱼漏洞。
图 网络钓鱼坦克
Online Link Scan 网站允许扫描链接以确定它们是否安全。如下图显示了该网站的主页。
图 在线链接扫描
美国联邦贸易委员会 (FTC) 列出了避免网络钓鱼攻击的类似建议:
“网络钓鱼电子邮件和短信通常会讲述一个故事,诱骗您点击链接或打开附件。您可能会收到一封意外的电子邮件或短信,看起来像是来自您认识或信任的公司,例如银行、信用卡或公用事业公司。或者可能来自在线支付网站或应用程序。该消息可能来自骗子,他可能......
威胁情报
正如诺顿建议中所见,了解情况是避免网络钓鱼的一个重要方面,但它对于避免任何类型的网络攻击也很有用。有许多来源可以描述威胁情报。CrowdStrike 有一个专门提供威胁情报的网站。SolarWinds 对网络威胁情报的描述如下:“网络威胁情报是网络威胁和行为者的最新信息、背景和指标。它有助于及时了解漏洞、威胁和威胁行为者;随后,在组织的数字环境中协调自动化安全响应,以减轻相关的网络安全风险。”
AlienVault 运行一个名为Threat Exchange 的网站,可让您查看最新的威胁。PhishTank 网站提供有关最新网络钓鱼攻击的信息以及搜索网络钓鱼诈骗的功能。还有一些商业服务会向您发送有关最新威胁的持续信息。这使您能够持续、最新地了解当前的威胁。
概括
特洛伊木马和网络钓鱼都会对您的网络构成重大危险。特洛伊木马和病毒经常重叠(即病毒可能会安装特洛伊木马)。病毒扫描程序和适当的策略是您抵御特洛伊木马的唯一保护。因此,仔细制定和实施反特洛伊木马策略尤为重要。
网络钓鱼也是一个日益严重的问题。网络钓鱼可能是收集信息的简单尝试,也可能是其他攻击的一部分。例如,网络钓鱼电子邮件可能会被用来尝试诱使某人单击链接,并且该链接会下载恶意软件。大多数针对网络钓鱼的防御措施都涉及最终用户教育,但也可以使用技术。
参考:
原文始发于微信公众号(河南等级保护测评):网络安全等级保护:防御网络钓鱼
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论