网络钓鱼是一种社会工程攻击,通常用于窃取多用户资料,包括登入凭据和信用卡号。当攻击者伪装成受信任的实体,欺骗受害者开启电子邮件、即时讯息或文字讯息时,就会发生这种情况。然后,收件人会被诱骗点选恶意连结,这可能会导致安装恶意软件、作为勒索软件攻击的一部分冻结站群系统或泄露敏感资讯。
一次攻击可能会产生毁灭性的后果。对于个人而言,这包括未经授权的购买、窃取资金或身份盗窃。
此外,网络钓鱼通常用于在企业站群或政府网络中站稳脚跟,作为更大攻击的一部分,例如 高阶持续威胁 (APT) 事件。在后一种情况下,员工会受到威胁,以绕过安全边界、在封闭环境中分发恶意软件或获得对安全资料的特权访问。除了市场份额、声誉和消费者信任度下降之外,遭受此类攻击的组织通常还会遭受严重的财务损失。根据范围的不同,网络钓鱼尝试可能会升级为安全事件,企业站群将难以从中恢复。推荐阅读:《如何安全上网并阻止 Cookies》
网络钓鱼攻击示例
以下说明了一种常见的网络钓鱼诈骗尝试:
一封表面上来自 myuniversity.edu 的伪造电子邮件 被大量分发给尽可能多的教职员工。
什么是网络钓鱼攻击?
该电子邮件声称多用户的密码即将到期。给出了 在 24 小时内访问 myuniversity.edu/renewal 更新密码的说明。
单击连结可能会发生多种情况。例如
多用户被重定向到 myuniversity.edurenewal.com,这是一个与真正的续订页面完全一样的虚假页面,其中要求新密码和现有密码。攻击者监控页面,劫持原始密码以访问大学网络上的安全区域。
多用户被发送到实际的密码更新页面。但是,在重定向时,恶意指令码会在后台启用以劫持多用户的会话 cookie 。这会导致 反射型 XSS 攻击,使犯罪者获得访问大学网络的特权。
网络钓鱼技术
电子邮件网络钓鱼诈骗
电子邮件网络钓鱼是一种数字游戏。传送数千条欺诈性讯息的攻击者可以获取大量资讯和金钱,即使只有一小部分收件人会被骗。如上所述,攻击者可以使用一些技术来提高成功率。
一方面,他们会不遗余力地设计网络钓鱼邮件,以模仿来自欺骗组织的实际电子邮件。使用相同的措辞、字型、徽标和签名使讯息看起来合法。
此外,攻击者通常会试图通过制造紧迫感来促使多用户采取行动。例如,如前所述,电子邮件可能会威胁到帐户到期并将收件人置于计时器上。施加这样的压力会导致多用户不够勤奋并且更容易出错。
最后,邮件中的连结类似于它们的合法连结,但通常有拼写错误的域名或额外的子域。在上面的示例中, myuniversity.edu/renewal URL 更改为 myuniversity.edurenewal.com 。两个地址之间的相似性给人以安全连结的印象,使接收者不太了解正在发生攻击。
鱼叉式网络钓鱼
鱼叉式网络钓鱼针对特定的个人或企业站群,而不是随机的应用程式多用户。这是一种更深入的网络钓鱼版本,需要了解组织的特殊知识,包括其权力结构。推荐阅读:《应该性如何保证站群服务器的安全和稳定》
攻击可能如下进行:
肇事者研究组织多营销站群部门员工的姓名并获得最新的专案发票。
攻击者冒充多营销站群总监,向部门专案经理 (PM) 传送电子邮件,主题行为 “更新 Q3 活动的发票” 。文字、样式和包含的徽标复制了组织的标准电子邮件模板。
电子邮件中的连结重定向到受密码保护的内部文件,实际上是被盗发票的伪造版本。
要求 PM 登入以检视文件。攻击者窃取他的凭据,获得对组织网络内敏感区域的完全访问许可权。
通过向攻击者提供有效的登入凭据,鱼叉式网络钓鱼是执行 APT 第一阶段的有效方法。
如何防止网络钓鱼
网络钓鱼攻击防护需要多用户和企业站群都采取措施。
对于多用户来说,警惕是关键。欺骗性讯息通常包含暴露其真实身份的微妙错误。这些可能包括拼写错误或域名更改,如前面的 URL 示例所示。多用户也应该停下来想想为什么他们甚至会收到这样的电子邮件。
对于企业站群而言,可以采取多种措施来缓解网络钓鱼和鱼叉式网络钓鱼攻击:
双因素身份验证 (2FA) 是抵御网络钓鱼攻击的最有效方法,因为它在登入敏感应用程式时新增了额外的验证层。 2FA 依赖于多用户拥有两件事:他们知道的东西,例如密码和多用户名称,以及他们拥有的东西,例如他们的智慧手机。即使员工受到威胁,2FA 也会阻止使用他们被泄露的凭证,因为仅凭这些不足以进入。
除了使用 2FA 之外,组织还应实施严格的密码管理策略。例如,应该要求员工经常更改他们的密码,并且不允许在多个应用程式中重复使用一个密码。
教育活动还可以通过实施安全措施 (例如不点选外部电子邮件连结) 来帮助减少网络钓鱼攻击的威胁。推荐相关阅读:《如何确保 WordPress 网站资料安全(一)》
