携手创作，共同成长！这是我参与「掘金日新计划 · 8 月更文挑战」的第15天，点击查看活动详情

鱼叉式网络钓鱼

鱼叉式网络钓鱼是一种社会工程攻击]，其中犯罪者伪装成受信任的个人，诱使目标单击欺骗性电子邮件，短信或即时消息中的链接。结果，目标在不知不觉中泄露了敏感信息，在其网络上安装了恶意程序（恶意软件）或执行高级持续性威胁（APT）的第一阶段，仅举几例可能的后果。

虽然与网络钓鱼和捕鲸攻击类似，但鱼叉式网络钓鱼以独特的方式启动，其目标与其他社会工程攻击不同。因此，在制定应用程序安全策略时，攻击值得特别注意。

以下示例说明了鱼叉式网络钓鱼攻击的进展和潜在后果：

欺骗性电子邮件从声称代表数据库管理 SaaS 提供商 www.itservices.com 的人发送到企业的系统管理员。电子邮件使用 itservices.com 客户邮件模板。
该电子邮件声称 itservices.com 在有限的时间内提供免费的新服务，并邀请用户使用随附的链接注册该服务。
单击链接后，系统管理员被重定向到 itservice.com 上的登录页面，这是一个与 itservices.com 注册页面相同的虚假网站。
同时，在系统管理员的计算机上安装了命令和控制代理，然后可以将其用作企业网络的后门来执行APT的第一阶段。

鱼叉式网络钓鱼、网络钓鱼和捕鲸攻击的复杂程度和预期目标各不相同。它们的差异在下面突出显示。

网络钓鱼涉及从假定的可信来源向尽可能多的人发送恶意电子邮件，假设响应率较低。例如，网络钓鱼电子邮件可能声称来自PayPal并要求收件人通过单击随附的链接来验证其帐户详细信息，这会导致在受害者的计算机上安装恶意软件。

网络钓鱼电子邮件是非个人的，是批量发送的，并且通常包含拼写错误或其他错误，这些错误会暴露其恶意意图。问题是，并不是每个人都注意到这些微妙的暗示。受信任的徽标和指向已知目的地的链接足以诱骗许多人分享他们的详细信息。

另一方面，鱼叉式网络钓鱼电子邮件更具检测性，因为它们似乎来自靠近目标的来源。网络犯罪分子向具有共同点的特定个人或人群发送个性化电子邮件，例如在同一部门工作的员工。

捕鲸使用欺骗性电子邮件，针对组织内的高级决策者，如首席执行官，首席财务官和其他高管。这些个人可以访问非常有价值的信息，包括商业秘密和管理公司帐户的密码。

攻击者就关键业务重要性问题发送电子邮件，伪装成具有合法权限的个人或组织。例如，攻击者可能会向首席执行官发送电子邮件，请求付款，假装是该公司的客户。

捕鲸攻击总是针对目标个人，通常使用他们的头衔，职位和电话号码，这些都是通过公司网站，社交媒体或媒体获得的。

捕鲸和鱼叉式网络钓鱼之间的区别在于，捕鲸专门针对组织内的高级个人，而鱼叉式网络钓鱼通常针对一类知名度较低的个人。

鱼叉式网络钓鱼攻击的针对性使其难以检测。但是，一些风险预防措施可以提供帮助，包括双因素身份验证（2FA），密码管理策略和教育活动。

2FA通过要求用户拥有两件事来帮助安全登录到敏感应用程序：他们知道的东西，例如密码和用户名，以及他们拥有的东西，例如智能手机或加密令牌。当使用2FA时，即使使用鱼叉式网络钓鱼等技术破坏了密码，如果没有真实用户持有的物理设备，它对攻击者也没有用处。

谨慎的密码管理策略应采取措施防止员工在虚假的外部网站上使用公司访问密码。

此类策略的一个示例是指示员工在访问电子邮件提供的链接时始终输入虚假密码。合法网站不会接受虚假密码，但网络钓鱼网站会接受。

在组织层面，企业可以提高认识并积极培训员工，强调鱼叉式网络钓鱼攻击是一种重要威胁。培训材料可以展示鱼叉式网络钓鱼的真实示例，其问题旨在测试员工的知识。意识到鱼叉式网络钓鱼的员工不太可能成为攻击的受害者。