网络钓鱼攻击事件的频繁出现对企业构成了重大威胁。更重要的是,所有公司都应该学会如何发现一些最常见的网络钓鱼诈骗,同时熟悉恶意行为者用来实施这些骗局的一些最常见的技术类型。
为此,下面我们讨论六种最常见的网络钓鱼攻击类型,并重点介绍组织可以用来保护自己的一些技巧。
01 欺骗性网络钓鱼
欺骗性网络钓鱼是最常见的网络钓鱼诈骗类型。在这种策略中,欺诈者冒充合法公司来窃取人们的个人数据或登录凭据。这些电子邮件一般使用威胁和紧迫感来吓唬用户做攻击者想要做的事情。
欺骗性网络钓鱼中使用的技术:
合法链接 :许多攻击者试图通过将合法链接合并到其欺骗性网络钓鱼电子邮件中来逃避电子邮件过滤器的检测。他们可以通过欺骗的企业的联系信息来执行此操作。
混合恶意和良性代码:负责创建网络钓鱼登录页面的人员通常将恶意代码和良性代码混合在一起,以欺骗 Exchange 联机保护 (EOP)。这可能采取复制科技巨头登录页面的CSS和JavaScript的形式来窃取用户的账户凭据。
重定向和缩短的链接:恶意行为者不想向受害者发出任何危险信号。因此,他们使用缩短的URL来欺骗安全电子邮件网关(SEG)。他们还使用“定时炸弹”将用户重定向到网络钓鱼登录页面,仅在电子邮件送达后。在受害者丧失凭据后,该活动会将受害者重定向到合法的网页。
修改品牌徽标:某些电子邮件过滤器可以发现恶意行为者何时窃取组织的徽标并将其合并到其攻击电子邮件或网络钓鱼登录页面上。他们通过寻找徽标的HTML属性来做到这一点。为了欺骗这些检测工具,恶意行为者会更改徽标的 HTML 属性,例如其颜色。
精简的电子邮件内容:数字攻击者试图通过在其攻击电子邮件中包含最少的内容来逃避检测。例如,他们可能会选择通过包含图像而不是文本来执行此操作。
如何防范欺骗性网络钓鱼
欺骗性网络钓鱼的成功取决于攻击电子邮件在多大程度上类似于欺骗性公司的官方信件。用户应仔细检查所有URL,以查看它们是否重定向到未知和/或可疑网站。他们还应该注意通用称呼,语法错误和拼写错误。
02 鱼叉式网络钓鱼
鱼叉式网络钓鱼计划背后的逻辑中,欺诈者使用目标的姓名,职位,公司,工作电话号码和其他信息自定义其攻击电子邮件,以诱骗收件人相信他们与发件人有联系。然而,目标与欺骗性网络钓鱼相同:让受害者点击恶意URL或电子邮件附件,以便他们交出个人数据。鉴于制定令人信服的攻击尝试所需的信息量,鱼叉式网络钓鱼在社交媒体网站上司空见惯也就不足为奇了,攻击者可以使用多个数据源来制作有针对性的攻击电子邮件。
鱼叉网络钓鱼中使用的技术
在云服务上保存恶意文档:CSO报告称,数字攻击者越来越多地在云端硬盘和其他云服务上保存恶意文档。默认情况下,IT不太可能阻止这些服务,这意味着组织的电子邮件过滤器不会标记武器化文档。
妥协令牌:CSO还指出,数字犯罪分子正试图破坏API令牌或会话令牌。在这方面的成功将使他们能够窃取对电子邮件账户、网站或其他资源的访问权限。
收集外出通知:攻击者需要大量情报才能发送令人信服的鱼叉式网络钓鱼活动。他们可以做到这一点的一种方法是向员工发送大量电子邮件并收集外出通知,以了解内部员工使用的电子邮件地址的格式。
探索社交媒体:恶意行为者需要了解谁在目标公司工作。他们可以通过使用社交媒体来调查组织的结构,并决定他们希望挑选谁进行有针对性的攻击。
如何防御鱼叉式网络钓鱼
为了防止这种类型的骗局,组织应该持续进行员工安全意识培训,其中包括阻止用户在社交媒体上发布敏感的个人或公司信息。公司还应该投资分析入站电子邮件中已知恶意链接/电子邮件附件的解决方案。
03 捕鲸式网络钓鱼
鱼叉式网络钓鱼者可以针对组织中的任何人。当钓鱼目标瞄准到高层时,这就是“捕鲸”袭击背后的逻辑。在这些骗局中,欺诈者试图用鱼叉刺可执行文件并窃取他们的登录详细信息。
捕鲸式钓鱼中使用的技术
捕鲸攻击通常使用与鱼叉式网络钓鱼活动相同的技术。以下是恶意行为者可以使用的一些其他策略:
渗透网络:遭到入侵的高管账户比欺骗性电子邮件账户更有效。数字攻击者因此可以使用恶意软件和rootkit来渗透其目标的网络。
接听电话:英国国家网络安全中心(NCSC)了解到,在几起事件中,攻击者通过电话确认电子邮件请求跟进了捕鲸电子邮件。这种社会工程策略有助于缓解目标对可能发生可疑事件的担忧。
追踪供应链:此外,NCSC还见证了恶意行为者使用来自目标供应商和供应商的信息来使他们的捕鲸电子邮件看起来像是来自受信任的合作伙伴。
如何防御捕鲸式钓鱼
捕鲸攻击之所以有效,是因为高管们通常不会与员工一起参加安全意识培训。为了应对 CEO 欺诈和 W-2 网络钓鱼的威胁,组织应强制要求所有公司人员(包括高管)持续参加安全意识培训。
组织还应考虑将多因素身份验证 (MFA) 通道注入其财务授权流程,以便任何人都无法仅通过电子邮件授权付款。
04 移动诈骗钓鱼
网络钓鱼并不是数字欺诈者可以使用手机进行的唯一网络钓鱼类型。他们还可以进行所谓的诽谤。此方法通常利用恶意短信诱使用户单击恶意链接或交出个人信息。
诈骗钓鱼中使用的技术
触发恶意应用下载:攻击者可以使用恶意链接触发在被害人移动设备上自动下载恶意应用。然后,这些应用程序可以部署勒索软件或使恶意行为者能够远程控制其设备。
链接到数据窃取表单:攻击者可以利用短信以及欺骗性网络钓鱼技术来诱使用户单击恶意链接。然后,该活动可以将他们重定向到旨在窃取其个人信息的网站。
指示用户联系技术支持:使用这种类型的攻击策略,恶意行为者会发送短信,指示收件人联系某个号码以获得客户支持。然后,诈骗者将伪装成合法的客户服务代表,并试图诱骗受害者交出他们的个人数据。
如何防范诈骗钓鱼
用户可以通过研究未知的电话号码,并在有任何疑问时致电可疑短信中的公司来帮助抵御短信攻击。
05 域欺骗钓鱼
随着用户对传统的网络钓鱼诈骗越来越明智,一些欺诈者正在完全放弃“诱饵”受害者的想法。相反,他们正在诉诸于域欺骗。这种网络钓鱼方法利用针对域名系统(DNS)的缓存中毒,域名系统是一种命名系统,Internet使用它来将按字母顺序排列的网站名称(例如“www.microsoft.com”)转换为数字IP地址,以便它可以定位并从而将访问者定向到计算机服务和设备。
域欺骗钓鱼中使用的技术
恶意电子邮件代码:在这种域欺骗攻击的变体中,恶意行为者会发送包含恶意代码的电子邮件,这些恶意代码会修改收件人计算机上的主机文件。然后,这些主机文件将所有URL重定向到攻击者控制下的网站,以便他们可以安装恶意软件或窃取受害者的信息
以DNS服务器为目标:或者,恶意行为者可能会选择跳过针对单个用户的计算机,并直接跟踪 DNS 服务器。这可能会危及数百万网络用户的 URL 请求。
如何防御域欺骗钓鱼
为了防止域欺骗攻击,组织应鼓励员工仅在受 HTTPS 保护的站点上输入登录凭据。公司还应在所有公司设备上部署防病毒软件,并定期实施病毒数据库更新。最后,他们应该掌握由受信任的互联网服务提供商(ISP)发布的安全升级。
05 总结
综上可以看出,企业可以发现一些最常见的网络钓鱼攻击类型。即便如此,这并不意味着能够发现每个网络钓鱼。网络钓鱼不断发展,采用新的形式和技术。考虑到这一点,企业必须持续进行安全意识培训,以便其员工和高管能够掌握网络钓鱼的发展。
