网络钓鱼攻击是指欺诈性电子邮件、短信、电话或网站,旨在诱使用户下载恶意软件、共享敏感信息或个人数据(例如社会保险号和信用卡号、银行账号、登录凭据),或采取其他使自己或组织面临网络犯罪的行动。
成功的网络钓鱼攻击通常会导致身份盗用、信用卡欺诈、勒索软件攻击、数据泄露以及个人和公司的巨大经济损失。
网络钓鱼是社会工程中最常见的一种,即欺骗、施压或操纵人们将信息或资产发送给错误的人。社会工程攻击依靠人为错误和压力策略来获得成功。攻击者通常伪装成受害者信任的人或组织(例如同事、老板、受害者或受害者雇主与之开展业务的公司),并造成一种紧迫感,促使受害者鲁莽行事。黑客和欺诈者使用这些策略,是因为欺骗他人比入侵计算机或网络更容易,成本也更低。
据 FBI 称,网络钓鱼电子邮件是黑客用来向个人和组织发送勒索软件的最常用攻击方法或媒介。IBM 的《2022 年数据泄露成本》发现,网络钓鱼是造成数据泄露的第二大原因(去年为第四大原因),而网络钓鱼造成的数据泄露成本最高,受害者平均损失 491 万美元。
群发电子邮件网络钓鱼是最常见的网络钓鱼攻击类型。诈骗者会创建一封看似来自大型知名合法企业或组织(国家或国际银行、大型在线零售商、流行软件应用程序开发商)的电子邮件,并将消息发送给数百万收件人。群发电子邮件网络钓鱼是一种数字游戏:被冒充的发件人规模越大或越受欢迎,收件人是客户、订阅者或会员的概率就越大。
网络罪犯尽一切可能使网络钓鱼电子邮件看起来合法。他们通常在电子邮件中包含被假冒者(发件人)的标志,并屏蔽“发件人”电子邮件地址以包含被假冒者(发件人)的域名;有些甚至会模仿发件人的域名,例如使用“rnicrosoft.com”,而不是“microsoft.com”,乍一看似乎合法。
主题行要设置为与被冒充发件人相契合的话题,并能挑动强烈的情绪(恐惧、贪婪、好奇、紧迫感或时限压力等),从而引起收件人的关注。典型的主题行包括“请更新您的用户个人资料”、“您的订单有问题”、“您的结账文件已准备好签署”、“您的发票已附上”。
电子邮件正文指示收件人采取看似完全合理且与主题一致的操作,但会导致收件人泄露敏感信息(社会保险号、银行账号、信用卡号、登录凭据)或下载可以感染收件人设备或网络的文件。
例如,收件人可能会被定向到“单击此处更新您的个人资料”,但底层超链接打开的会是个虚假网站,从而诱使他们在更新个人资料过程中输入实际登录凭据。或者收件人可能会被告知打开看似合法的附件(如“invoice20.xlsx”)但这样一来,就会将恶意软件或恶意代码发送到收件人的设备或网络。
鱼叉式网络钓鱼是一种针对特定个人的网络钓鱼攻击,通常是指拥有敏感数据或网络资源访问权限的人,或者拥有特殊权限的人,骗子可以利用这些权限进行欺诈或达到邪恶目的。
鱼叉式网络钓鱼者会对目标进行研究,以收集所需的信息,从而冒充目标真正信任的个人或实体(朋友、老板、同事、值得信赖的供应商或金融机构)或者冒充目标个人。人们在社交媒体和社交网站上公开祝贺同事、对同事和供应商表示支持,并倾向于过度分享会议、活动或旅行计划,这些都成为鱼叉式网络钓鱼研究的丰富信息来源。
有了这些信息,鱼叉式网络钓鱼者就可以向目标发送包含特定个人详细信息或财务信息的邮件,向目标提出可信的请求,例如“我知道您今晚要启程去度假,但您能不能在今天下班前先支付这张发票上的款项(或向这个账户转账 USDXXX.XX)?”
针对高管、富人或其他高价值目标的鱼叉式网络钓鱼攻击通常被称为鲸鱼网络钓鱼或捕鲸攻击。
BEC 是一类鱼叉式网络钓鱼攻击,它试图窃取大量资金或极其有价值的信息,例如公司或机构的商业秘密、客户数据、财务信息。
BEC 攻击有多种形式。两种最常见的形式:
首席执行官 (CEO) 欺诈:诈骗者假冒公司高管层的电子邮件帐户,或直接侵入该帐户,并向一名或多名低层员工发送消息,指示他们将资金转移到欺诈账户或从欺诈供应商处进行购买,或向未经授权方发送文件。
电子邮件帐户泄露 (EAC):诈骗者获得较低级别员工(例如财务、销售、研发经理)的电子邮件帐户的访问权限,并使用它向供应商发送欺诈性发票,指示其他员工进行欺诈性付款或存款,或请求访问机密数据。
作为这些攻击的一部分,诈骗者通常通过向高管或员工发送鱼叉式网络钓鱼消息,诱骗他们泄露电子邮件帐户凭据(用户名和密码),以访问公司电子邮件帐户。例如,“您的密码即将过期。单击此链接更新帐户”,这样的信息可能隐藏着一个恶意链接,指向一个旨在窃取帐户信息的虚假网站。
无论使用何种策略,成功的 BEC 攻击都是代价最高的网络攻击之一。在 BEC 最著名的案例之一中,冒充首席执行官的黑客说服其公司财务部门向诈骗银行账户转账了 4,200 万欧元。
短信网络钓鱼(简称“短信钓鱼”)是使用手机或智能手机短信进行网络钓鱼。最有效的短信钓鱼方案都是有具体情境的,即与智能手机帐户管理或应用程序有关。例如,收件人可能会收到一条短信,内容是“感谢”他们支付无线账单,或者要求他们更新信用卡信息,以便继续使用流媒体服务。
语音网络钓鱼或语音钓鱼是通过电话进行的网络钓鱼。借助 IP 语音 (VoIP) 技术,骗子每天可以拨打数百万个自动网络钓鱼电话;他们通常使用来电显示欺骗技术,使其电话看起来像是从合法机构或本地电话号码拨打的。网络钓鱼电话通常以信用卡处理问题、逾期付款或国税局麻烦等警告吓唬收件人。回复的来电者最终会向为网络罪犯工作的人提供敏感数据;有些人甚至在电话的另一端将计算机的远程控制权授予诈骗者。
社交媒体网络钓鱼利用社交媒体平台的各种功能来钓取会员的敏感信息。诈骗者利用平台自身的消息发送功能,如 Facebook Messenger、LinkedIn 消息发送功能或 InMail、Twitter DM 等,与他们使用普通电子邮件和短信的方式大致相同。他们还会向用户发送看似来自社交网站的网络钓鱼电子邮件,要求收件人更新登录凭据或付款信息。如果受害者在多个社交媒体网站上使用同一登录凭据,这些攻击的代价尤其高昂,是非常常见的“最糟糕的做法”。
应用程序或应用程序内消息。热门移动设备应用程序和网络(软件即服务 (SaaS))应用程序定期向用户发送电子邮件。因此,诈骗者很容易将这些用户作为网络钓鱼活动目标,冒充应用程序或软件供应商发送欺骗电子邮件。诈骗者玩数字游戏,通常会冒充最热门的应用程序和网络应用程序开发商发送欺骗电子邮件,例如 PayPal、Microsoft Office 365 或 Teams,从中猛敲一笔。
各类组织都积极培训用户如何识别网络钓鱼骗局,并制定处理任何可疑电子邮件和短信的最佳实践。例如,可以教用户识别钓鱼邮件的这些特征和其他特征:
- 请求提供敏感信息或个人信息,或者更新个人资料或付款信息
- 汇款或转账请求
- 收件人未请求或预期的文件附件
- 给人紧迫感,无论是明目张胆的(“您的账户将于今天关闭……”)还是隐晦的(例如,同事要求立即支付发票上的款项)威胁,不照做就会有牢狱之灾或其他不切实际的后果
- 威胁不照做就会有牢狱之灾或其他不切实际的后果
- 拼写或语法错误
- 不一致或伪造的发件人地址
- 使用 Bit.Ly 或其他链接缩短服务缩短链接
- 用于代替文本的文本图像(在邮件中或邮件链接的网页上)
这里只列出了部分;不幸的是,黑客一直在不断开发新的网络钓鱼技术来更好地避开检测。反网络钓鱼工作组的季度网络钓鱼趋势活动报告(链接位于 ibm.com 外部)等研究报告可以帮助组织跟上步伐。
组织还可以鼓励或实施最佳实践,减轻员工检测网络钓鱼活动的压力。例如,组织可以制定并传达明确的政策,如上级或同事绝不会通过电子邮件发送转账请求。他们可以要求员工使用邮件中提供的方式以外的方式联系发件人,或直接访问发件人的合法地址,以验证任何要求提供个人信息或敏感信息的请求。他们可以坚持要求员工向 IT 或安全团队报告网络钓鱼企图和可疑电子邮件。
尽管有最好的用户培训和严格的最佳实践,用户仍然会犯错误。幸运的是,一些既有的和新兴的端点和网络安全技术可以帮助安全团队从培训和政策中解脱出来,继续与网络钓鱼作斗争。
垃圾邮件过滤器和电子邮件安全软件利用现有网络钓鱼诈骗相关数据和机器学习算法来识别可疑的网络钓鱼电子邮件(和其他垃圾邮件),然后将其移至单独的文件夹并禁用其中包含的所有链接。
防病毒和反恶意软件可以检测并清除网络钓鱼电子邮件中的恶意文件或代码。
除了用户名和密码之外,多重身份验证还需要至少一个登录凭据,例如发送到用户手机的一次性代码。多因素身份验证可提供额外的最后一道防线,抵御网络钓鱼诈骗或其他成功泄露密码的攻击,从而削弱鱼叉式网络钓鱼攻击,防止 BEC。
Web 过滤器可防止用户访问已知的恶意网站(“列入黑名单”的站点),并在用户访问可疑的恶意或虚假网站时显示警报。
企业网络安全解决方案,例如安全协调、自动化和响应 (SOAR)、安全信息和事件管理 (SIEM)、端点检测和响应 (EDR)、网络检测和响应 (NDR) 以及扩展检测和响应 (XDR) 等,将上述和其他技术与不断更新的威胁情报和自动事件响应功能相结合。这些解决方案可以帮助组织在网络钓鱼欺诈邮件发送给用户之前就加以防范,并限制突破传统端点或网络防御的网络钓鱼攻击造成的影响。
捕获其他人难以察觉的高级威胁。QRadar SIEM 利用分析和人工智能监控威胁情报、网络和用户行为异常,并优先处理需要立即关注和修复的威胁。
IBM Trusteer Rapport 通过保护零售和企业客户,帮助金融机构检测和预防恶意软件感染和网络钓鱼攻击。
通过利用这种精准而易用的端点检测和响应 (EDR) 解决方案,保护端点以免受到网络攻击,检测异常行为并近乎实时地进行修复。