携手创作,共同成长!这是我参与「掘金日新计划 · 8 月更文挑战」的第13天,点击查看活动详情
什么是网络钓鱼攻击
网络钓鱼是一种社会工程攻击,通常用于窃取用户数据,包括登录凭据和信用卡号。当攻击者伪装成受信任的实体,欺骗受害者打开电子邮件、即时消息或短信时,就会发生这种情况。然后,收件人被诱骗单击恶意链接,这可能导致恶意软件的安装,作为勒索软件攻击的一部分冻结系统或泄露敏感信息。
攻击可能会产生毁灭性的后果。对于个人而言,这包括未经授权的购买,窃取资金或身份盗窃。
此外,网络钓鱼通常用于在企业或政府网络中站稳脚跟,作为大型攻击的一部分,例如高级持续性威胁(APT)事件。在后一种情况下,员工会受到威胁,以绕过安全边界,在封闭环境中分发恶意软件,或获得对受保护数据的特权访问。
屈服于此类攻击的组织除了市场份额,声誉和消费者信任度下降外,通常还会遭受严重的财务损失。根据范围,网络钓鱼尝试可能会升级为安全事件,企业将很难从中恢复。
网络钓鱼攻击示例
下面说明了常见的网络钓鱼诈骗尝试:
- 表面上来自 myuniversity.edu 的欺骗性电子邮件被大量分发给尽可能多的教职员工。
- 该电子邮件声称用户的密码即将过期。指示在24小时内前往 myuniversity.edu/renewal 续订密码。
!网络钓鱼攻击示例 - 网络钓鱼电子邮件
通过单击该链接可能会发生几种情况。例如:
- 用户被重定向到 myuniversity.edurenewal.com,这是一个虚假的页面,看起来与真正的续订页面完全相同,其中请求新密码和现有密码。监视该页面的攻击者会劫持原始密码,以访问大学网络上的安全区域。
- 用户将进入实际密码续订页面。但是,在重定向时,恶意脚本会在后台激活以劫持用户的会话 Cookie。这会导致反射的 XSS 攻击,使犯罪者具有访问大学网络的特权。
网络钓鱼技术
电子邮件网络钓鱼诈骗
电子邮件网络钓鱼是一个数字游戏。发送数千条欺诈性消息的攻击者可以净赚到重要的信息和金额,即使只有一小部分收件人落入骗局。如上所述,攻击者可以使用一些技术来提高成功率。
首先,他们将不遗余力地设计网络钓鱼邮件,以模仿来自欺骗性组织的实际电子邮件。使用相同的措辞、字体、徽标和签名使邮件看起来是合法的。
此外,攻击者通常会试图通过创造紧迫感来推动用户采取行动。例如,如前所述,电子邮件可能会威胁到帐户过期,并将收件人放在计时器上。施加这样的压力会导致用户不那么勤奋,更容易出错。
最后,邮件中的链接类似于其合法对应项,但通常具有拼写错误的域名或额外的子域。在上面的示例中,myuniversity.edu/renewal URL 已更改为 myuniversity.edurenewal.com。这两个地址之间的相似性给人一种安全链接的印象,使接收者不太意识到正在发生攻击。
!网络钓鱼技术 - 网络钓鱼链接示例
鱼叉式网络钓鱼
鱼叉式网络钓鱼针对特定人员或企业,而不是随机应用程序用户。这是网络钓鱼的更深入版本,需要对组织(包括其权力结构)有特殊了解。
攻击可能会按如下方式进行:
- 犯罪者研究组织营销部门内的员工姓名,并获取最新的项目发票。
- 攻击者冒充营销总监,使用主题行向部门项目经理 (PM) 发送电子邮件,主题行显示“第 3 季度活动的更新发票”。文本、样式和包含的徽标与组织的标准电子邮件模板重复。
- 电子邮件中的链接重定向到受密码保护的内部文档,该文档实际上是被盗发票的欺骗版本。
- 请求 PM 登录以查看文档。攻击者窃取其凭据,从而获得对组织网络中敏感区域的完全访问权限。
通过向攻击者提供有效的登录凭据,鱼叉式网络钓鱼是执行APT第一阶段的有效方法。
如何防止网络钓鱼
网络钓鱼攻击防护要求用户和企业都采取措施。
对于用户来说,警惕是关键。欺骗性邮件通常包含暴露其真实身份的细微错误。这些可能包括拼写错误或对域名的更改,如前面的 URL 示例所示。用户还应该停下来想想为什么他们甚至会收到这样的电子邮件。
对于企业,可以采取许多步骤来缓解网络钓鱼和鱼叉式网络钓鱼攻击:
- 双因素身份验证(2FA)是对抗网络钓鱼攻击的最有效方法,因为它在登录敏感应用程序时增加了一个额外的验证层。2FA依赖于用户拥有两样东西:他们知道的东西,例如密码和用户名,以及他们拥有的东西,例如他们的智能手机。即使员工受到损害,2FA也会阻止使用其受损的凭据,因为仅凭这些凭据就不足以进入。
- 除了使用 2FA 之外,组织还应强制实施严格的密码管理策略。例如,应要求员工经常更改其密码,并且不允许在多个应用程序中重复使用密码。
- 教育活动还可以通过强制实施安全实践(例如不单击外部电子邮件链接)来帮助减少网络钓鱼攻击的威胁。
