什么是鲸鱼网络钓鱼？

鲸鱼网络钓鱼的目标是公司高管层（首席执行官、首席财务官、首席运营官）、其他高级管理人员、政治官员和组织领导者，他们可以在未经他人批准的情况下授权大额付款或电汇或发布敏感信息。这些目标被称为鲸鱼，这是一个俚语，指的是比普通人能获得更多资金的客户（或赌徒）。

了解网络钓鱼、鱼叉式网络钓鱼和鲸鱼网络钓鱼之间的关系非常重要，这主要是因为这些术语经常互换使用、错误使用或在没有上下文的情况下使用。

网络钓鱼是指任何欺诈性电子邮件、短信或电话，旨在诱骗用户下载恶意软件（通过恶意链接或文件附件）、共享敏感信息、向犯罪分子汇款或采取其他使自己或其组织面临网络犯罪的行为。

拥有计算机或智能手机的任何人都收到过批量网络钓鱼攻击，基本上是一条看似来自知名企业或组织的表单消息，描述了常见或可信的情况并要求采取紧急行动，例如，您的信用卡已被拒绝。请点击下面的链接更新您的付款信息。点击该链接的收件人将被带到恶意网站，该网站可能会窃取他们的信用卡号或将恶意软件下载到他们的计算机上。

批量网络钓鱼活动是一场数字游戏。攻击者向尽可能多的人发送消息，因为他们知道一定比例的人会被诱骗上钩。一项研究在 2022 年的六个月内检测到超过 2.55 亿条网络钓鱼消息。根据 IBM 的 2024 年数据泄露成本报告，网络钓鱼是 2024 年数据泄露的第二大常见原因，也是向受害者提供勒索软件的最常见方法。

鱼叉式网络钓鱼是一种针对组织内特定个人或群体的网络钓鱼攻击。鱼叉式网络钓鱼攻击通常是针对可以授权付款或数据传输的中层管理人员（包括应付帐款经理、人力资源总监）发起的，攻击者伪装成目标的上司或目标信任的同事（供应商、合作伙伴、顾问）。

鱼叉式网络钓鱼攻击比批量网络钓鱼攻击更加个性化，并且需要更多的工作和研究。但是，额外的工作可以为网络罪犯带来回报。例如，2013 年至 2015 年间，鱼叉式网络钓鱼者通过冒充合法供应商并诱骗员工支付欺诈性发票，从 Facebook 和 Google 窃取了超过 1 亿美元。

鲸鱼网络钓鱼或鲸钓攻击是专门针对高级管理人员或官员的鱼叉式网络钓鱼攻击。攻击者通常冒充目标所属组织内的同事，或者来自另一个组织的同等或更高级别的同事或伙伴。

鲸鱼网络钓鱼消息是高度个性化的。攻击者煞费苦心地模仿实际发件人的写作风格，并在可能的情况下引用正在进行的实际业务对话的上下文。鲸鱼网络钓鱼诈骗者通常会监视发件人与目标之间的对话；许多诈骗者会尝试劫持发件人的实际电子邮件或短信帐户，并直接从那里发送攻击消息，确保最高真实性。

由于鲸钓攻击针对的是可以授权大额付款的个人，有可能为攻击者提供更高的直接回报。

鲸钓有时等同于商业电子邮件泄露 (BEC)，这是另一种鱼叉式网络钓鱼攻击，攻击者向目标发送看似来自同事或伙伴的欺诈性电子邮件。BEC 并不总是鲸钓（因为它经常针对较低级别的员工），鲸钓也并不总是 BEC（因为它并不总是涉及电子邮件），但许多成本最高的鲸钓攻击也涉及 BEC 攻击。例如：

• 2015 年，Ubiquity Networks 在短短 17 天内损失了近 4700 万美元，当时，鲸鱼网络钓鱼攻击者冒充该公司首席执行官和首席法律顾问发送了电子邮件，说服首席会计官进行一系列电汇为秘密收购融资。
  
  
• 2018 年，Pathe Film Group 损失了 1,920 万欧元（合 2,100 万美元）。当时，假装自己是 Pathe 法国总部首席执行官的诈骗者给 Pathe 荷兰办事处的首席执行官发了电子邮件，要求电汇以便为收购提供资金。
  
  
• 同样在 2018 年，攻击者冒充意大利公司 Tecnimont SpA 的 CEO、高管和法律顾问，欺骗该公司印度业务部门的负责人将 13 亿印度卢比（1825 万美元）转给香港的一家银行，表面上也是为了资助收购。在该骗局中，攻击者采取了额外的步骤，举行了几次虚假的电话会议，装模作样地讨论“收购”细节。

网络钓鱼、鱼叉式网络钓鱼和鲸鱼网络钓鱼都是社会工程攻击的例子，这些攻击主要利用人的漏洞而不是技术漏洞来危及安全。由于它们留下的数字证据比恶意软件或黑客攻击少得多，因此，安全团队和网络安全专业人员更难以检测或预防这些攻击。

大多数鲸钓攻击的目的是通过欺骗高级官员向欺骗性的供应商或银行账户进行电汇、授权或下令电汇，从而从组织窃取大量资金。但鲸钓攻击可能还有其他目标，包括：

• 窃取敏感数据或机密信息。这可能包括盗窃个人数据，例如员工工资信息或客户的个人财务数据。但鲸鱼网络钓鱼诈骗还会针对知识产权、商业秘密和其他敏感信息。
  
  
• 窃取用户凭据。一些网络罪犯会发起初步的鲸鱼网络钓鱼攻击来窃取电子邮件凭据，以便可以从被劫持的电子邮件帐户发起后续的鲸鱼网络钓鱼攻击。其他人将盗用凭据来获得对目标网络上的资产或数据的高级访问权限。
  
  
• 植入恶意软件在鲸鱼网络钓鱼攻击中，有一种是试图诱骗目标打开恶意文件附件或访问恶意网站来传播勒索软件或其他恶意软件，这种情况占比相对较小。

同样，大多数鲸鱼网络钓鱼攻击都是出于贪婪。但他们的动机也可能是针对高管或公司的个人恩怨、竞争压力或社会或政治活动。针对高级政府官员的鲸钓攻击可能是独立或国家支持的网络恐怖主义行为。

网络罪犯会选择对他们的目标拥有访问权限的鲸鱼，以及与他们选中的鲸鱼有关联的发件人。例如，对于想要拦截向公司供应链合作伙伴付款的网络罪犯，可能会假冒供应链合作伙伴的首席执行官向该公司的首席财务官发送发票，并要求付款。想要窃取员工数据的攻击者可能会冒充首席财务官，并向人力资源副总裁请求工资信息。

为了使发件人的信息可信且具有说服力，鲸钓诈骗者会细致地研究他们的目标和发件人以及他们工作的组织。

由于人们在社交媒体和其他网络环境中进行大量分享和对话，诈骗者只需搜索社交媒体网站或网络就可以找到他们需要的大量信息。例如，只需研究潜在目标的 LinkedIn 个人资料，攻击者就可以了解该人的职位、职责、公司电子邮件地址、部门名称、同事和合作伙伴的姓名和头衔、最近参加的活动和出差计划。

根据具体目标，诈骗者还可从主流媒体、商业媒体和地方媒体获取额外信息，例如，传闻或已完成的交易、招标项目以及预计的建筑成本。黑客通常只需在谷歌上进行一些常规搜索，就能制作出令人信服的鱼叉式网络钓鱼电子邮件。

但是，在准备鲸鱼网络钓鱼攻击时，诈骗者通常会采取重要的额外步骤，攻击目标和发件人以收集其他材料。这可以很简单，只需用间谍软件感染目标和发件人的计算机，诈骗者就能够查看文件内容来进行进一步研究。更有野心的诈骗者会侵入发件人的网络并访问发件人的电子邮件或短信帐户，他们可以在其中观察并将自行加入到实际对话中。

需要攻击时，诈骗者将发送攻击邮件。最有效的鲸鱼网络钓鱼邮件似乎适合正在进行的对话的背景，包括对特定项目或交易的详细引用，呈现可信的情况（一种称为假脱 的社会工程学策略）并提出同样可信的请求。例如，伪装成公司首席执行官的攻击者可能会向首席财务官发送以下邮件：

根据我们昨天的谈话，附上处理 BizCo 收购案的律师开具的发票。请按照合同规定，在明天下午美国东部时间 5 点之前付款。谢谢！

在此示例中，所附发票可能是律师事务所的发票副本，经过修改以直接付款到诈骗者的银行账户。

为了让目标觉得真实，鲸钓邮件可能会融合多种社会工程学策略，包括：

• 欺骗性电子邮件域。如果攻击者无法侵入发件人的电子邮件帐户，他们将创建相似的电子邮件域（用 bill.smith@cornpany.com 代替 bill.smith@company.com）。鲸钓电子邮件还可能包含复制的电子邮件签名、隐私声明和其他视觉提示，使它们一眼看上去是真实的。
  
  
• 紧迫感。时间压力（提及关键截止日期或滞纳金）可能会促使目标更快地采取行动，而无需仔细考虑请求。
  
  
• 坚持保密。鲸钓邮件通常包含一些说明，例如请暂时保密，防止目标向可能质疑该请求的其他人询问。
  
  
• 语音网络钓鱼 (vishing) 备份。网络钓鱼消息越来越多地包含目标可以拨打以进行确认的电话号码。一些诈骗者通过语音邮件来跟进网络钓鱼电子邮件，这些语音邮件使用基于人工智能的方式模仿所声称发件人的声音。

与所有网络钓鱼攻击一样，鲸鱼网络钓鱼攻击是最难应对的网络攻击之一，因为传统（基于签名）的网络安全工具并不总是能够识别它们。在许多情况下，攻击者只需越过“人”这一安全防线即可。鲸鱼网络钓鱼攻击尤其具有挑战性，因为它们的针对性和个性化内容使它们对目标或观察者更具说服力。

尽管如此，各组织仍然可以采取一些措施来帮助减轻鲸鱼网络钓鱼的影响，即使不能完全防止此类攻击。

安全意识培训。由于鲸鱼网络钓鱼利用了人的漏洞，因此员工培训是抵御这些攻击的重要防线。反网络钓鱼培训可能包括：

• 向员工传授识别可疑电子邮件的技能（检查电子邮件发件人名称是否为欺诈性域名）
  
  
• 避免在社交网站上“过度分享”的技巧
  
  
• 强调安全的工作习惯，例如，绝不打开未经请求的附件、通过第二渠道确认不寻常的付款请求、致电供应商确认发票、直接导航到网站而不是点击电子邮件中的链接
  
  
• 鲸鱼网络钓鱼模拟，高管们可以在其中运用所学知识

多重身份验证和自适应身份验证。实施多重身份验证（除了用户名和密码之外还需要一个或多个凭据）和/或自适应身份验证（当用户从不同的设备或位置登录时需要额外的凭据），可以防止黑客访问用户的电子邮件帐户，即使他们能够窃取用户的电子邮件密码。

安全软件。没有任何一种安全工具可以完全阻止鲸鱼网络钓鱼，但有几种工具可以发挥作用，防止鲸鱼网络钓鱼攻击或最大限度地减少造成的损害：

• 一些电子邮件安全工具，包括基于 AI 的反网络钓鱼软件、垃圾邮件过滤器和安全电子邮件网关，可以帮助检测和转移鲸钓电子邮件。
  
  
• 防病毒软件可以帮助消除间谍软件或恶意软件攻击者可能采取的一些行为，防止侵入目标网络进行研究、窃听对话或控制电子邮件帐户。它还可以帮助消除由鲸鱼网络钓鱼引起的勒索软件或恶意软件感染。
  
  
• 系统和软件补丁可以弥补鱼叉式网络钓鱼者经常利用的技术漏洞。
  
  
• 安全 Web 网关和其他网络过滤工具可以屏蔽鲸鱼网络钓鱼电子邮件中链接的恶意网站。
  
  
• 企业安全解决方案可以帮助安全团队和安全运营中心 (SOC) 检测和拦截与鲸鱼网络钓鱼攻击相关的恶意流量和网络活动。这些解决方案包括（但不限于）安全编排、自动化和响应 (SOAR)、安全事件和事件管理 (SIEM)、端点检测和响应 (EDR)、网络检测和响应 (NDR) 以及扩展检测和响应 (XDR)。