網路釣魚是一種社會工程攻擊,通常用於竊取多使用者資料,包括登入憑據和信用卡號。當攻擊者偽裝成受信任的實體,欺騙受害者開啟電子郵件、即時訊息或文字訊息時,就會發生這種情況。然後,收件人會被誘騙點選惡意連結,這可能會導致安裝惡意軟體、作為勒索軟體攻擊的一部分凍結站群系統或洩露敏感資訊。
一次攻擊可能會產生毀滅性的後果。對於個人而言,這包括未經授權的購買、竊取資金或身份盜竊。
此外,網路釣魚通常用於在企業站群或政府網路中站穩腳跟,作為更大攻擊的一部分,例如 高階持續威脅 (APT) 事件。在後一種情況下,員工會受到威脅,以繞過安全邊界、在封閉環境中分發惡意軟體或獲得對安全資料的特權訪問。除了市場份額、聲譽和消費者信任度下降之外,遭受此類攻擊的組織通常還會遭受嚴重的財務損失。根據範圍的不同,網路釣魚嘗試可能會升級為安全事件,企業站群將難以從中恢復。推薦閱讀:《如何安全上網並阻止 Cookies》
網路釣魚攻擊示例
以下說明了一種常見的網路釣魚詐騙嘗試:
一封表面上來自 myuniversity.edu 的偽造電子郵件 被大量分發給儘可能多的教職員工。
什麼是網路釣魚攻擊?
該電子郵件聲稱多使用者的密碼即將到期。給出了 在 24 小時內訪問 myuniversity.edu/renewal 更新密碼的說明。
單擊連結可能會發生多種情況。例如
多使用者被重定向到 myuniversity.edurenewal.com,這是一個與真正的續訂頁面完全一樣的虛假頁面,其中要求新密碼和現有密碼。攻擊者監控頁面,劫持原始密碼以訪問大學網路上的安全區域。
多使用者被髮送到實際的密碼更新頁面。但是,在重定向時,惡意指令碼會在後臺啟用以劫持多使用者的會話 cookie 。這會導致 反射型 XSS 攻擊,使犯罪者獲得訪問大學網路的特權。
網路釣魚技術
電子郵件網路釣魚詐騙
電子郵件網路釣魚是一種數字遊戲。傳送數千條欺詐性訊息的攻擊者可以獲取大量資訊和金錢,即使只有一小部分收件人會被騙。如上所述,攻擊者可以使用一些技術來提高成功率。
一方面,他們會不遺餘力地設計網路釣魚郵件,以模仿來自欺騙組織的實際電子郵件。使用相同的措辭、字型、徽標和簽名使訊息看起來合法。
此外,攻擊者通常會試圖透過製造緊迫感來促使多使用者採取行動。例如,如前所述,電子郵件可能會威脅到帳戶到期並將收件人置於計時器上。施加這樣的壓力會導致多使用者不夠勤奮並且更容易出錯。
最後,郵件中的連結類似於它們的合法連結,但通常有拼寫錯誤的域名或額外的子域。在上面的示例中, myuniversity.edu/renewal URL 更改為 myuniversity.edurenewal.com 。兩個地址之間的相似性給人以安全連結的印象,使接收者不太瞭解正在發生攻擊。
魚叉式網路釣魚
魚叉式網路釣魚針對特定的個人或企業站群,而不是隨機的應用程式多使用者。這是一種更深入的網路釣魚版本,需要了解組織的特殊知識,包括其權力結構。推薦閱讀:《應該性如何保證站群伺服器的安全和穩定》
攻擊可能如下進行:
肇事者研究組織多營銷站群部門員工的姓名並獲得最新的專案發票。
攻擊者冒充多營銷站群總監,向部門專案經理 (PM) 傳送電子郵件,主題行為 “更新 Q3 活動的發票” 。文字、樣式和包含的徽標複製了組織的標準電子郵件模板。
電子郵件中的連結重定向到受密碼保護的內部檔案,實際上是被盜發票的偽造版本。
要求 PM 登入以檢視檔案。攻擊者竊取他的憑據,獲得對組織網路內敏感區域的完全訪問許可權。
透過向攻擊者提供有效的登入憑據,魚叉式網路釣魚是執行 APT 第一階段的有效方法。
如何防止網路釣魚
網路釣魚攻擊防護需要多使用者和企業站群都採取措施。
對於多使用者來說,警惕是關鍵。欺騙性訊息通常包含暴露其真實身份的微妙錯誤。這些可能包括拼寫錯誤或域名更改,如前面的 URL 示例所示。多使用者也應該停下來想想為什麼他們甚至會收到這樣的電子郵件。
對於企業站群而言,可以採取多種措施來緩解網路釣魚和魚叉式網路釣魚攻擊:
雙因素身份驗證 (2FA) 是抵禦網路釣魚攻擊的最有效方法,因為它在登入敏感應用程式時新增了額外的驗證層。 2FA 依賴於多使用者擁有兩件事:他們知道的東西,例如密碼和多使用者名稱稱,以及他們擁有的東西,例如他們的智慧手機。即使員工受到威脅,2FA 也會阻止使用他們被洩露的憑證,因為僅憑這些不足以進入。
除了使用 2FA 之外,組織還應實施嚴格的密碼管理策略。例如,應該要求員工經常更改他們的密碼,並且不允許在多個應用程式中重複使用一個密碼。
教育活動還可以透過實施安全措施 (例如不點選外部電子郵件連結) 來幫助減少網路釣魚攻擊的威脅。推薦相關閱讀:《如何確保 WordPress 網站資料安全(一)》
