与所有网络钓鱼诈骗一样,鱼叉式网络钓鱼涉及通过虚假故事和欺诈场景操纵受害者。鱼叉式网络钓鱼攻击可以通过电子邮件、短信、聊天应用程序或电话进行。
根据 IBM 的《数据泄露成本报告》,网络钓鱼是数据泄露的最常见原因。网络钓鱼是最有效的“钓鱼欺诈”形式之一,因为网络罪犯会量身定制骗局,以尽可能地说服其目标。
Barracuda 的一份报告分析了 500 亿封电子邮件,研究人员发现,鱼叉式网络钓鱼占电子邮件的比例不到 0.1%,但却导致了 66% 的成功泄露。1根据数据泄露成本报告,网络钓鱼造成的平均泄露损失为 476 万美元,而鱼叉式网络钓鱼攻击导致的损失可高达 1 亿美元。2
鱼叉式网络钓鱼是一种社会工程学攻击,利用的是人性而非网络漏洞。为了有效地应对这种情况,网络安全团队必须将员工教育与先进的威胁检测工具相结合,形成对这种阴险威胁的强大防御。
网络钓鱼是一个广泛的类别,包括任何使用欺诈性消息操纵受害者的社会工程攻击。鱼叉式网络钓鱼是网络钓鱼的一个子集,专注于精心选择的目标。
典型的网络钓鱼攻击也称为“批量网络钓鱼”,是一种数字游戏。黑客精心制作的欺诈信息看似来自可信的企业、组织甚至名人。
黑客向成百上千的人发送这些网络钓鱼邮件,希望欺骗其中一些人访问虚假网站或泄露社会安全号码等有价值的信息。
但是,网络钓鱼攻击是针对可访问网络罪犯欲获得之资产的特定个人的针对性攻击。
鱼叉式网络钓鱼者将目光瞄准特定的人或群体,例如公司高管或公司的区域销售总监。他们对目标人物的个人和职业生活进行了广泛的研究,并利用他们的研究结果制作出高度可信的诈骗信息。
大多数鱼叉式网络钓鱼攻击遵循四个步骤:
许多鱼叉式网络钓鱼诈骗旨在从组织中窃取大量资金。鱼叉式网络钓鱼者可以通过多种方式做到这一点。有些人诱骗受害者向欺诈性供应商付款或电汇。其他人操纵目标分享信用卡号、银行账号或其他财务数据。
鱼叉式网络钓鱼活动还可能具有其他破坏性目标:
接下来,网络钓鱼者会确定一个合适的目标。这个目标是可以让黑客直接(例如通过付款)或间接(例如通过下载间谍软件)访问其所需资源的人。
鱼叉式网络钓鱼的目标通常是具有较高网络或系统权限的中级、低级或新员工。与更高级别的目标相比,这些员工在遵守公司政策方面可能不那么严格。他们也可能更容易受到压力计策的影响,例如诈骗者冒充高级领导。
典型的受害者包括有权付款的财务经理、具有管理员级别网络访问权限的 IT 员工以及有权访问员工个人数据的人力资源经理。
其他类型的网络钓鱼攻击专门针对高管级别的员工。请参阅“网络钓鱼、捕鲸和 BEC”部分,了解更多信息。
攻击者研究目标,寻找允许他们冒充目标附近的可信来源的信息,例如朋友、同事或老板。
由于人们在社交媒体和其他网络媒体上随意分享大量信息,网络罪犯不费吹灰之力就能找到这些信息。许多黑客只需在 Google 上搜索几个小时就能制作出令人信服的鱼叉式网络钓鱼电子邮件。
有些黑客甚至走得更远。他们侵入公司电子邮件帐户或消息传递应用程序,花时间观察目标,以收集更详细的信息。
鱼叉式网络钓鱼者利用他们的研究成果,创建看起来非常可信、有针对性的网络钓鱼消息。关键在于,这些信息包含个人和职业细节,目标会误以为只有可信来源才会知道。
例如,假设 "Jack" 是 ABC Industries 的应付账款经理。通过查看 Jack 的公开 LinkedIn 个人资料,攻击者就能找到他的职位、职责、公司电子邮件地址、部门名称、上司的姓名和职位以及合作伙伴的姓名和职位。
黑客可以利用这些细节发送一封可信的电子邮件,声称来自 Jack 的老板:
你好,Jack:
我知道你在处理 XYZ Systems 的发票。他们刚刚告诉我,他们正在更新付款流程,今后所有付款都要转到一个新的银行账户。这是他们最新的发票,其中包含新账户的详细信息。你今天可以付款吗?
随附的发票是假的,“新银行账户”是欺诈者拥有的账户。当 Jack 付款时,他是把钱直接交给了攻击者。
网络钓鱼电子邮件通常包含视觉提示,以进一步增强诈骗的真实性。例如,攻击者可能会使用伪造的电子邮件地址,该地址带有 Jack 老板的显示名称,但隐藏攻击者使用的欺诈性电子邮件地址。
攻击者还可能抄送欺骗性的同事电子邮件并插入带有 ABC Industries 公司徽标的签名。
熟练的欺诈者甚至可能入侵 Jack 老板的真实电子邮件帐户,然后从那里发送消息,使 Jack 深信不疑。
一些欺诈者开展混合鱼叉式网络钓鱼活动,将网络钓鱼电子邮件与短信(称为“短信网络钓鱼”或“短信钓鱼”)或电话(称为“语音网络钓鱼”或“电话钓鱼”)相结合。
例如,电子邮件可能不附加虚假发票,而是指示 Jack 拨打 XYZ 系统应付账款部门的电话号码,该电话号码由欺诈者秘密控制。
由于混合式鱼叉式网络钓鱼攻击使用多种通信方式,因此往往比标准的鱼叉式网络钓鱼攻击更加有效。
除了赢得受害者的信任之外,鱼叉式网络钓鱼攻击还经常使用社会工程技术对目标施加心理压力,迫使他们采取不应该采取或通常不会采取的行动。
其中一个例子是冒充公司高级职员,就像上一节中的鱼叉式网络钓鱼电子邮件一样。员工习惯于尊重权威,并且害怕不服从高管的命令,即使这些命令不合常规。
其他常见的社会工程计策包括:
假托:编造一个目标认可并能产生共鸣的逼真故事或情境。例如,鱼叉式网络钓鱼者可能会冒充 IT 工作人员,并告诉目标需要定期更新密码。
营造紧迫感:例如,网络钓鱼者可能会冒充供应商,声称某项关键服务的付款已经逾期。
激发强烈的情绪:引发恐惧、内疚、感激或贪婪,或提及目标关心的事情可能会蒙蔽受害者的判断,使他们更容易上当受骗。例如,冒充目标老板的欺诈者可能会承诺为“在最后一刻帮助处理请求”提供“奖励”。
人工智能 (AI),特别是生成式 AI 的日益普及使鱼叉式网络钓鱼者更容易进行复杂且高效的攻击。
根据 IBM 的 X-Force Threat Intelligence Index,诈骗者需要 16 个小时才能手动制作出一封网络钓鱼电子邮件。利用 AI,诈骗者只需五分钟即可创建这些消息。
特别是对于网络钓鱼者,AI 可以简化骗局中最棘手的部分。例如,欺诈者可以使用 AI 自动从目标的社交媒体资料中提取信息。他们可以向生成式 AI 工具投喂目标人员的写作样本,从而使 AI 能够生成更可信的网络钓鱼消息。
欺诈者还可以利用 AI 创建令人信服的虚假文件,例如假发票、邮件模板、报告和其他材料。黑客甚至可以使用 AI 生成的视频和语音记录,使区分诈骗和真实通信变得更加困难。
鱼叉式网络钓鱼攻击有两种值得注意的亚型:捕鲸(或“鲸鱼网络钓鱼”)和商业电子邮件泄露 (BEC)。
捕鲸和普通鱼叉式网络钓鱼之间的主要区别在于,捕鲸攻击专门针对知名度最高、价值最高的受害者。想想董事会成员、各首席高管、名人或政治家。鲸钓者正在追捕只有这些目标才能提供的猎物,例如大量现金或高度机密信息的访问权。
BEC 攻击是一种鱼叉式网络钓鱼诈骗,明确地以劫掠组织为目标。BEC 的两种常见形式包括:
CEO 欺诈:欺诈者通过欺骗或劫持电子邮件帐户、聊天应用程序或其他通信渠道冒充首席级高管。欺诈者向一名或多名下级员工发送消息,指示他们将资金转入欺诈性账户或从欺诈性供应商处购买商品。
电子邮件帐户入侵 (EAC):欺诈者获得较低级别员工(例如财务或销售经理)的电子邮件帐户的访问权。诈骗者使用该帐户向供应商发送欺诈性发票,指示其他员工进行欺诈性付款或存款,或请求访问机密数据。
成功的 BEC 攻击是代价最高的网络威胁之一,根据联邦调查局 (FBI) 互联网犯罪报告,2023 年报告的损失总额为 29 亿美元。3
网络钓鱼攻击是最难对付的网络攻击之一,因为传统的网络安全工具总是无法检测到它们。网络钓鱼攻击很难拦截,因为针对性和个性化内容使其对普通人更具说服力。
然而,组织可以采取一些措施来加强对鱼叉式网络钓鱼的防御,并降低攻击成功的可能性:
由于鱼叉式网络钓鱼攻击的目标是人,而不是系统漏洞,因此员工培训是一道重要的防线。安全意识培训可以包括:
没有一种单一的安全控制可以完全阻止鱼叉式网络钓鱼,但有几种工具可以帮助防止鱼叉式网络钓鱼攻击或将其造成的损失降到最低。
电子邮件安全工具(例如垃圾邮件过滤器和安全电子邮件网关)可以帮助实时检测和转移鱼叉式网络钓鱼电子邮件。
防病毒软件可以帮助消除由鱼叉式网络钓鱼引起的恶意软件或勒索软件感染。
安全 Web 网关、防火墙和其他网络过滤工具可以封阻鱼叉式网络钓鱼电子邮件将用户引向的恶意网站。
系统和软件补丁可以弥补网络钓鱼者经常利用的技术漏洞。
端点保护工具,如端点检测和响应 (EDR) 和统一终端管理 (UEM) 解决方案,可以阻止欺诈者接管设备、冒充用户或植入恶意软件。
1 2023 spear-phishing trends, Barracuda, 2023.
2 How this scammer used phishing emails to steal over USD 100 million from Google and Facebook, CNBC, 27 March 2019.
3 Internet Crime Report 2023, FBI Internet Crime Complaint Center, 4 April 2024.