您的团队能否及时捕获下一个零日?
加入安全领导者的行列,订阅 Think 时事通讯,获取有关 AI、网络安全、数据和自动化的精选资讯。快速访问专家教程和阅读解释器,我们会将这些内容直接发送到您的收件箱。请参阅 IBM 隐私声明。
简单来说:鱼叉式网络钓鱼是一种特殊的网络钓鱼攻击。
钓鱼攻击是指利用恶意电子邮件、短信或语音电话欺骗用户分享敏感数据(如信用卡号码或社会保障号码)、下载恶意软件、访问恶意网站、将资金转给错误的人,或者以其他方式危害自己、同事或雇主的安全。钓鱼攻击是最常见的网络犯罪攻击方式,2022年向 FBI 报告的钓鱼攻击次数达到 300,479 起。
大多数网络钓鱼属于群发钓鱼,即冒充广为人知的可信发送方(如国际品牌),向数百万人群发非个性化信息,以期小部分收件人会上钩。
鱼叉式网络钓鱼是有针对性的网络钓鱼。具体来说,鱼叉式网络钓鱼信息是
鱼叉式网络钓鱼攻击比网络钓鱼攻击要少见得多,但它们追求的回报要大得多或更有价值,一旦成功,其影响要比群发网络钓鱼诈骗大得多。根据一份近期报告,鱼叉式钓鱼邮件在 12 个月期间仅占所有邮件的 0.1%,但却占据了同一期间数据泄露的 66%。在一起备受关注的鱼叉式钓鱼攻击中,诈骗者冒充合法供应商,欺骗员工支付虚假发票,从 Facebook 和 Google 偷走了超过 1 亿美元。
加入安全领导者的行列,订阅 Think 时事通讯,获取有关 AI、网络安全、数据和自动化的精选资讯。快速访问专家教程和阅读解释器,我们会将这些内容直接发送到您的收件箱。请参阅 IBM 隐私声明。
鱼叉式钓鱼攻击采用多种策略,使其比群发钓鱼更难被识别且更具说服力。
为了使其定向攻击更具可信性,鱼叉式钓鱼者会研究发件人和目标,以便能够有效伪装发件人,并向目标呈现一个可信的故事。
许多鱼叉式钓鱼者通过社交媒体了解他们将要冒充的发件人以及他们的受害者。由于人们在社交媒体和其他在线平台上自由分享信息,网络罪犯现在无需费太多力气就能找到相关且详细的信息。例如,研究受害者的 LinkedIn 页面可能帮助骗子更好地了解员工的工作职责,并弄清其组织使用哪些供应商,从而更有效地冒充可靠的发件人,发送伪造的发票。
根据 Omdia 的一份报告,黑客在进行一般性的 Google 搜索后,能够在很短时间内制作出具有说服力的鱼叉式钓鱼邮件。有些黑客甚至可能侵入公司电子邮件帐户或消息应用,花更多时间观察对话,以收集关于关系的更详细背景信息。
社会工程学计策利用心理操纵手段,诱使人们相信错误的假设或采取不明智的行动。根据他们的调查,鱼叉式钓鱼诈骗者可以在消息中编造出可信的情境,或称为托辞,例如:“我们已决定在土地交易中选择一家新的律师事务所,请将附上的发票款项电汇给他们,以支付保留费。”他们可能会制造紧迫感,促使收件人仓促行动,例如,付款已逾期,请在午夜前汇款以避免滞纳金。有些骗局甚至运用社会工程学手段来掩盖秘密,例如“请务必谨慎,在本周末交易正式公布前请勿声张”。
鱼叉式网络钓鱼诈骗越来越多地结合来自多种媒体的消息以提高可信度。例如,鱼叉式钓鱼消息中会包含目标可以拨打以确认的电话号码;这些号码由虚假的客服人员接听。一些诈骗者在鱼叉式钓鱼邮件后跟进了虚假的短信(称为短信钓鱼)。近年来,诈骗者在鱼叉式钓鱼邮件后跟进了虚假的电话(称为语音钓鱼),并使用基于人工智能的技术伪装成假冒发件人的声音。
鱼叉式网络钓鱼攻击根据其目标对象或冒充的身份进一步细分为不同的子类型。
商业电子邮件泄露 (BEC) 是一种鱼叉式网络钓鱼电子邮件骗局,旨在从企业窃取金钱或敏感数据。
在 BEC 攻击中,网络罪犯(或网络犯罪团伙)向目标组织的员工发送看似来自经理或同事的电子邮件,或者来自受害者所熟悉的供应商、合作伙伴、客户或其他关联人士。这些电子邮件的目的是诱骗员工支付虚假发票、向虚假银行账户进行电汇,或将敏感信息发送给据称需要这些信息的人。BEC 诈骗者可能会通过要求受害者打开附件或单击恶意链接来传播勒索软件或恶意软件,这种情况较为少见。
一些 BEC 诈骗者更进一步,通过窃取或获取发件人电子邮件帐户的凭据(用户名和密码),直接从该发件人真实的帐户发送邮件。这使得骗局看起来比那些经过精心伪造或仿冒的邮箱帐号所发送的邮件更为真实。
在一种特殊类型的 BEC 攻击(称为 CEO 欺诈)中,诈骗者伪装成高级管理人员,向低级别员工施压,要求其电汇资金或披露敏感数据。
鲸鱼网络钓鱼是一种针对高知名度、高价值目标(即“鲸鱼”)的鱼叉式网络钓鱼,其攻击对象包括企业董事、最高管理层以及非企业界人士如名流政要。鲸钓攻击者深知,这些目标人物掌握着唯有高价值对象才能提供的资源,包括大额资金、高价值或高度机密信息的获取权限,以及值得维护的声誉资产。与其他鱼叉式网络钓鱼攻击相比,捕鲸式攻击通常需要更详细的研究,这也是毋庸置疑的。
2022 年 8 月,云通信巨头Twilio 遭受了一次复杂的鱼叉式网络钓鱼攻击,导致其网络受损。
钓鱼者利用看似来自公司 IT 部门的虚假短信,针对 Twilio 员工发起攻击。这些信息声称员工的密码已过期或他们的日程已更改,并引导他们访问一个虚假的网站,要求重新输入登录凭据。为了使该钓鱼骗局更真实,黑客在虚假网站的 URL 中加入了“Twilio”、“Okta” 和单点登录 (SSO),以进一步说服员工点击恶意链接。
诈骗分子利用上当受骗员工的凭据,入侵了 Twilio 的企业网络。
这起钓鱼诈骗引起了媒体关注,不仅因为它的复杂性(一位专家称其为“历史上最复杂的长期黑客攻击之一”),还因为 Twilio 作为一家 B2B 公司,为许多其他科技公司提供服务。因此,多家科技公司相继卷入这起钓鱼诈骗事件,其中包括 Twilio 旗下的双重认证服务商 Authy,以及依赖 Twilio 提供短信验证服务的加密通讯应用 Signal。
最终,Twilio 遭受的攻击影响了其 163 多个客户组织,其中包括 1900 个 Signal 帐户。此外,这也证明了像 Twilio 遭遇的鱼叉式钓鱼攻击正变得越来越普遍。
电子邮件安全工具、防病毒软件和多重身份验证都是抵御网络钓鱼和鱼叉式网络钓鱼的第一道关键防线。组织越来越依赖安全意识培训和钓鱼模拟,以更好地教育员工了解网络钓鱼和鱼叉式网络钓鱼攻击的危险性及其计策。
然而,如果没有最先进的威胁检测和响应能力来实时抓捕网络犯罪分子并减轻成功网络钓鱼活动的影响,任何安全系统都是不完整的。
IBM® QRadar SIEM 将机器学习和用户行为分析 (UBA) 应用于网络流量以及传统日志,实现更智能的威胁检测和更快速的修复。在 Forrester 最近的一项研究中,QRadar SIEM 通过识别误报,在三年中帮助安全分析人员节省了超过 14,000 个小时的时间,将调查事件所花费的时间减少了 90%,并将遭遇严重安全漏洞的风险降低了 60%。*借助 QRadar SIEM,资源紧张的安全团队可以获得所需的可见性和分析功能,从而能够快速检测威胁并立即采取明智行动,最大限度减少攻击的影响。
* IBM QRadar SIEM 的 Total Economic Impact™ 是由 Forrester Consulting 受 IBM 委托于 2023 年 4 月进行的专项研究。该研究基于以 4 位受访 IBM 客户为模型的复合型组织的预期结果。实际结果将因客户配置和条件而异,因此通常无法提供预期的结果。