網絡釣魚是一種社會工程攻擊,通常用於竊取多用户資料,包括登入憑據和信用卡號。當攻擊者偽裝成受信任的實體,欺騙受害者開啓電子郵件、即時訊息或文字訊息時,就會發生這種情況。然後,收件人會被誘騙點選惡意連結,這可能會導致安裝惡意軟件、作為勒索軟件攻擊的一部分凍結站羣系統或泄露敏感資訊。
一次攻擊可能會產生毀滅性的後果。對於個人而言,這包括未經授權的購買、竊取資金或身份盜竊。
此外,網絡釣魚通常用於在企業站羣或政府網絡中站穩腳跟,作為更大攻擊的一部分,例如 高階持續威脅 (APT) 事件。在後一種情況下,員工會受到威脅,以繞過安全邊界、在封閉環境中分發惡意軟件或獲得對安全資料的特權訪問。除了市場份額、聲譽和消費者信任度下降之外,遭受此類攻擊的組織通常還會遭受嚴重的財務損失。根據範圍的不同,網絡釣魚嘗試可能會升級為安全事件,企業站羣將難以從中恢復。推薦閲讀:《如何安全上網並阻止 Cookies》
網絡釣魚攻擊示例
以下説明了一種常見的網絡釣魚詐騙嘗試:
一封表面上來自 myuniversity.edu 的偽造電子郵件 被大量分發給儘可能多的教職員工。
什麼是網絡釣魚攻擊?
該電子郵件聲稱多用户的密碼即將到期。給出了 在 24 小時內訪問 myuniversity.edu/renewal 更新密碼的説明。
單擊連結可能會發生多種情況。例如
多用户被重定向到 myuniversity.edurenewal.com,這是一個與真正的續訂頁面完全一樣的虛假頁面,其中要求新密碼和現有密碼。攻擊者監控頁面,劫持原始密碼以訪問大學網絡上的安全區域。
多用户被髮送到實際的密碼更新頁面。但是,在重定向時,惡意指令碼會在後台啓用以劫持多用户的會話 cookie 。這會導致 反射型 XSS 攻擊,使犯罪者獲得訪問大學網絡的特權。
網絡釣魚技術
電子郵件網絡釣魚詐騙
電子郵件網絡釣魚是一種數字遊戲。傳送數千條欺詐性訊息的攻擊者可以獲取大量資訊和金錢,即使只有一小部分收件人會被騙。如上所述,攻擊者可以使用一些技術來提高成功率。
一方面,他們會不遺餘力地設計網絡釣魚郵件,以模仿來自欺騙組織的實際電子郵件。使用相同的措辭、字型、徽標和簽名使訊息看起來合法。
此外,攻擊者通常會試圖通過製造緊迫感來促使多用户採取行動。例如,如前所述,電子郵件可能會威脅到帳户到期並將收件人置於計時器上。施加這樣的壓力會導致多用户不夠勤奮並且更容易出錯。
最後,郵件中的連結類似於它們的合法連結,但通常有拼寫錯誤的域名或額外的子域。在上面的示例中, myuniversity.edu/renewal URL 更改為 myuniversity.edurenewal.com 。兩個地址之間的相似性給人以安全連結的印象,使接收者不太瞭解正在發生攻擊。
魚叉式網絡釣魚
魚叉式網絡釣魚針對特定的個人或企業站羣,而不是隨機的應用程式多用户。這是一種更深入的網絡釣魚版本,需要了解組織的特殊知識,包括其權力結構。推薦閲讀:《應該性如何保證站羣服務器的安全和穩定》
攻擊可能如下進行:
肇事者研究組織多營銷站羣部門員工的姓名並獲得最新的專案發票。
攻擊者冒充多營銷站羣總監,向部門專案經理 (PM) 傳送電子郵件,主題行為 “更新 Q3 活動的發票” 。文字、樣式和包含的徽標複製了組織的標準電子郵件模板。
電子郵件中的連結重定向到受密碼保護的內部文件,實際上是被盜發票的偽造版本。
要求 PM 登入以檢視文件。攻擊者竊取他的憑據,獲得對組織網絡內敏感區域的完全訪問許可權。
通過向攻擊者提供有效的登入憑據,魚叉式網絡釣魚是執行 APT 第一階段的有效方法。
如何防止網絡釣魚
網絡釣魚攻擊防護需要多用户和企業站羣都採取措施。
對於多用户來説,警惕是關鍵。欺騙性訊息通常包含暴露其真實身份的微妙錯誤。這些可能包括拼寫錯誤或域名更改,如前面的 URL 示例所示。多用户也應該停下來想想為什麼他們甚至會收到這樣的電子郵件。
對於企業站羣而言,可以採取多種措施來緩解網絡釣魚和魚叉式網絡釣魚攻擊:
雙因素身份驗證 (2FA) 是抵禦網絡釣魚攻擊的最有效方法,因為它在登入敏感應用程式時新增了額外的驗證層。 2FA 依賴於多用户擁有兩件事:他們知道的東西,例如密碼和多用户名稱,以及他們擁有的東西,例如他們的智慧手機。即使員工受到威脅,2FA 也會阻止使用他們被泄露的憑證,因為僅憑這些不足以進入。
除了使用 2FA 之外,組織還應實施嚴格的密碼管理策略。例如,應該要求員工經常更改他們的密碼,並且不允許在多個應用程式中重複使用一個密碼。
教育活動還可以通過實施安全措施 (例如不點選外部電子郵件連結) 來幫助減少網絡釣魚攻擊的威脅。推薦相關閲讀:《如何確保 WordPress 網站資料安全(一)》
