网络钓鱼套路深 保护你的企业不“上钩”

每次数据泄露和在线攻击似乎都涉及某种网络钓鱼，这类攻击企图窃取密码登录信息、发起欺诈性交易或者诱使人们下载恶意软件。Verizon发布的《2020年数据泄露调查报告》发现，网络钓鱼是与泄露有关的头号威胁活动。

 

网络钓鱼是攻击者通过技术手段伪造邮件、聊天工具、手机短信、网站等诱惑性信息，诱导用户提供个人信息，使受害者在未知的情况下，“自愿”交出重要信息或被窃取重要信息的诈骗活动。攻击者并不需要主动攻击，只需要静静等候这些钓竿的反应并提起一条又一条鱼就可以了，就好像是“姜太公钓鱼，愿者上钩”。

不妨看一下网络钓鱼攻击的不同类型以及如何识别它们。

网络钓鱼 ：群发电子邮件

发送电子邮件。以中奖、信用卡提额、机票退改签等虚假信息引诱用户点击邮件中的“有毒”链接，进入钓鱼网站，不明真相的用户为获得所谓的奖金在进入网站后被引导着输入自己的个人信息，如用户名、密码、动态验证码等，之后就会被不法分子盗窃用户资金。

鱼叉式网络钓鱼 ：攻击特定目标

鱼叉式网络钓鱼主要针对重要组织，比如政府部门。黑客会针对重要单位的个人发钓鱼邮件。电脑一旦被入侵后，主要目的是窃取重要资料，因此会潜伏很长一段时间。只有在特定时间点，需要病毒或木马采取攻击行动时才会采取攻击行为暴露出来。

鱼叉式网络钓鱼攻击的成功率极高，因为攻击者花大量时间来制作专门针对收件人的信息，比如介绍收件人可能刚出席的会议或发送恶意附件，其中文件名提到了收件人感兴趣的主题。

鲸钓攻击 ：追逐大目标

鲸钓攻击的目标是组织内的最高决策层，比如CEO，CFO等等。这些人可以获取非常有价值的信息，包括商业秘密和管理公司账户的密码。

攻击者伪装成具有合法权限的个人或组织，比如向CEO发送电子邮件，假装公司的客户，请求付款。

鲸钓攻击还需要更深入地研究，因为攻击者需要知道目标受害者与谁联系、他们在进行哪种讨论。例子包括提到客户投诉、法律传票，或甚至公司管理层中的问题。攻击者通常先采用社会工程学伎俩，以收集有关受害者和公司的信息，然后设计将用于鲸钓攻击的网络钓鱼消息。

商业电子邮件入侵(BEC)：发送电子邮件，以虚假信息引诱用户中圈套。

不法分子大量发送欺诈性电子邮件，邮件多以中奖、顾问、对账等内容引诱用户在邮件中填入金融账号和密码，或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息，继而盗窃用户资金。

克隆钓鱼 ：建立假冒网站骗取用户账号密码实施盗窃

不法分子建立起域名和网页内容都与真正的网上银行系统、网上证券交易平台极为相似的网站，引诱受骗者输入账号密码等信息，进而窃取用户资金。

语音钓鱼 ：通过电话进行网络钓鱼

语音钓鱼需要使用电话。受害者通常接到电话，语音消息伪装成了金融机构发来的信息。比如说，消息可能要求收件人拨打号码，并输入他们的账户信息或PIN(出于安全或其他官方目的)。但是，电话号码通过IP语音服务直接拨入到攻击者。

在2019年一次狡猾的语音钓鱼骗局中，犯罪分子打电话给受害者，冒充是苹果技术支持人员，向用户提供了一个解决“安全问题”的电话号码。就像老套的Windows技术支持骗局一样，这个骗局正是利用了用户担心设备被黑的心理。

短信钓鱼 ：通过短信进行的网络钓鱼

手机短信诈骗。不法分子利用伪基站给大批量的手机号码发送虚假信息，以“中奖”、“退款”、“超低价”等名义诱骗用户填写个人信息，最后以各种理由诈骗用户资金。

雪鞋攻击 ：传播毒害信息

雪鞋攻击即“打了就跑”的垃圾邮件要求攻击者通过多个域和IP地址发送邮件。每个IP地址发送少量邮件，因此基于信誉或数量的垃圾邮件过滤技术无法立即识别和阻止恶意邮件。过滤系统还未来得及阻止，一些邮件就进入到了电子邮件收件箱。

冰雹活动与雪靴攻击的原理大致一样，只不过邮件在极短的时间内发送出去。就在反垃圾邮件工具反应过来并更新过滤系统以阻止将来的邮件时，一些冰雹攻击已结束了，而攻击者已经将目光转向了下一次活动。