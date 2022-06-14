网络钓鱼

网络钓鱼攻击是一种数字或语音信息，它试图操纵接收者共享敏感信息、下载恶意软件、向不法分子转移资金或资产，或采取其他破坏性行动。诈骗者精心制作网络钓鱼信息，使其看起来或听起来像是来自可信或可靠的组织或个人，有时甚至是收件人认识的个人。

网络钓鱼诈骗有多种类型：

根据 2023 年 IBM Security X-Force Threat Intelligence 指数，网络钓鱼是主要的恶意软件感染途径，占所有事件的 41%。根据《2024 年数据泄露成本》报告，网络钓鱼是导致代价最高的数据泄露的最初攻击媒介。

利诱

利用诱饵引诱（非刻意双关）受害者在知情或不知情的情况下提供敏感信息或下载恶意代码，方法是用利益许诺甚至是实物的小恩小惠来诱惑他们。

尼日利亚王子骗局可能是这种社会工程技术的最著名例子。更常见的例子包括免费但受恶意软件感染的游戏、音乐或软件下载。但有些形式的诱饵，几乎是毫不讲求技术含量的。例如，一些威胁参与者将受恶意软件感染的 USB 驱动器留在人们可以找到它们、拿到它们并使用它们的地方，因为“嘿，免费的 USB 驱动器”。

尾随

尾随（也称为“搭便车”）是指未经授权的人员紧跟授权人员进入包含敏感信息或有价值资产的区域。尾随可以亲自进行，例如，威胁参与者可以跟踪员工通过未锁的门。但尾随也可以是一种数字计策，例如，当一个人将电脑置于无人看管的状态，同时仍在登录私人账户或网络时。

假托

在“假托”中，威胁参与者会为受害者制造一个假的情况，并冒充合适的人来解决这个问题。（最讽刺的是）很多时候其声称受害者受到了安全漏洞的影响，然后提出如果受害者提供重要的账户信息或者由他们接管受害者电脑或设备的控制权，他们就会修复问题。（从技术上讲，几乎每次社会工程攻击都涉及某种程度的“假托”。）

交换条件

在交换式骗局中，黑客用一种理想的商品或服务来换取受害者的敏感信息。虚假的比赛奖金或看似无害的忠诚度奖励（“感谢您的付款，我们为您准备了一份礼物”）都是交换式计谋的例子。

假冒安全软件

假冒安全软件也被认为是恶意软件的一种形式，它是利用恐惧来操纵人们共享机密信息或下载恶意软件的软件。假冒安全软件通常采用虚假执法通知的形式，指控用户犯罪，或者采用虚假技术支持信息的形式，警告用户设备上有恶意软件。

水坑攻击

在获名自短语“有人在水坑里下毒”的攻击方式中，黑客将恶意代码注入其目标经常光顾的合法网页中。从凭据被盗到无意中下载勒索软件，都是水坑攻击造成的。