每次数据泄露和在线攻击似乎都涉及某种网络钓鱼,这类攻击企图窃取密码登录信息、发起欺诈性交易或者诱使人们下载恶意软件。的确,Verizon发布的《2020年数据泄露调查报告》发现,网络钓鱼是与泄露有关的头号威胁活动。
企业经常提醒用户留意网络钓鱼攻击,但是许多用户并不真正知道如何识别它们。而人类又往往不善于识别骗局。
据Proofpoint的《2020年网络钓鱼状态报告》显示,美国65%的企业组织在2019年遭遇了得逞的网络钓鱼攻击。这既表明了攻击者很高明,又表明了需要同样很高明的安全意识培训。还有这一点:并非所有的网络钓鱼骗局都以相同的方式运作――有些是普通的电子邮件轰炸,另一些则经过精心设计,以攻击特定类型的人群,要培训用户知道邮件何时很可疑比较困难。
不妨看一下网络钓鱼攻击的不同类型以及如何识别它们。
网络钓鱼 :群发电子邮件
最常见的网络钓鱼形式是普通的群发邮件,即有人发送一封冒充他人的电子邮件,试图诱骗收件人执行某种操作,通常是登录网站或下载恶意软件。攻击通常依赖电子邮件进行,即伪造电子邮件标题(发件人字段),好让邮件看起来像是由可信任的发件人发送的。
然而,网络钓鱼攻击并不总是看起来像是UPS投递通知电子邮件、PayPal关于密码将过期的警告消息或关于存储配额的Office 365电子邮件。一些攻击是专门针对组织和个人而设计的,另一些攻击则依赖电子邮件之外的方法。
鱼叉式网络钓鱼 :攻击特定目标
网络钓鱼攻击因此而得名:骗子们通过使用欺骗性或欺诈性的电子邮件作为诱饵来钓鱼,寻找随机的受害者。鱼叉式网络钓鱼攻击用钓鱼来比喻,因为攻击者专门针对高价值的受害者和企业组织下手。攻击者可能觉得攻击少数几家公司企业更有利可图,而不是试图搞到1000个消费者的银行登录信息。有政府撑腰的攻击者可能盯上为其他国家的政府机构效力的雇员或政府官员,以窃取国家机密。
鱼叉式网络钓鱼攻击的成功率极高,因为攻击者花大量时间来制作专门针对收件人的信息,比如介绍收件人可能刚出席的会议或发送恶意附件,其中文件名提到了收件人感兴趣的主题。
在2017年的一次网络钓鱼活动中,Group 74(又名Sofact、APT28或Fancy Bear)利用一封佯称与美国网络冲突会议有关的电子邮件攻击了网络安全专业人员,该会议由美国西点军校陆军网络学院、北约组织协作网络军事学院和北约组织协作网络防御卓越中心共同组织。虽然确实有CyCon这个会议,但附件实际上是一个含有恶意Visual Basic for Applications(VBA)宏指令的文档,该宏指令会下载并执行名为Seduploader的侦察恶意软件。
鲸钓攻击 :追逐大目标
不同的受害者,不同的发薪日。专门针对企业高管的网络钓鱼攻击名为鲸钓攻击,因为受害者被认为具有高价值,而且被盗的信息将比普通员工提供的信息更有价值。相比入门级员工,属于首席执行官的账户登录信息会打开更多的大门。目标是窃取数据、员工信息和现金。
鲸钓攻击还需要更深入地研究,因为攻击者需要知道目标受害者与谁联系、他们在进行哪种讨论。例子包括提到客户投诉、法律传票,或甚至公司管理层中的问题。攻击者通常先采用社会工程学伎俩,以收集有关受害者和公司的信息,然后设计将用于鲸钓攻击的网络钓鱼消息。
商业电子邮件入侵(BEC): 冒充首席执行官
除了普通的群发网络钓鱼活动外,犯罪分子还通过商业电子邮件入侵(BEC)欺诈和首席执行官邮件欺诈来攻击财务和会计部门的关键人员。这些犯罪分子通过冒充财务人员和首席执行官,企图诱骗受害者将资金转入到未经授权的账户。
攻击者通常通过利用现有感染或通过鱼叉式网络钓鱼攻击,入侵公司高管或财务人员的电子邮件账户。攻击者潜伏下来,对高管的邮件活动监视一段时间,以摸透该公司内部的流程和程序。实际的攻击采取虚假邮件的形式,虚假邮件看起来像是从中招高管的账户发送给常规收件人的邮件。邮件似乎很重要很紧迫,要求收件人立马电汇到外部或陌生的银行账户。这笔钱最终进入到攻击者的银行账户。
据反网络钓鱼工作组的《2020年第二季度网络钓鱼活动趋势报告》显示,“商业电子邮件入侵(BEC)攻击导致的电汇损失平均额在增加:2020年第二季度企图电汇的平均额为80183美元。”
克隆钓鱼 :当副本同样管用时
克隆钓鱼要求攻击者创建与合法邮件几乎一模一样的副本,以诱骗受害者信以为真。电子邮件是从类似合法发件人的地址发送的,邮件正文与上一封邮件相同。唯一的区别是附件或邮件中的链接被换成了恶意附件或链接。攻击者可能会以需要重新发送原始或更新版的内容为借口,解释受害人为何再次收到“同样”的邮件。
这种攻击基于先前看到的合法邮件,从而使用户更有可能上当、受到攻击。已经感染了一个用户的攻击者可以对同样收到克隆邮件的另一人运用这种手法。另一种形式是,攻击者可能创建一个附有欺骗性域名的克隆网站,以欺骗受害者。
语音钓鱼 :通过电话进行网络钓鱼
语音钓鱼需要使用电话。受害者通常接到电话,语音消息伪装成了金融机构发来的信息。比如说,消息可能要求收件人拨打号码,并输入他们的账户信息或PIN(出于安全或其他官方目的)。但是,电话号码通过IP语音服务直接拨入到攻击者。
在2019年一次狡猾的语音钓鱼骗局中,犯罪分子打电话给受害者,冒充是苹果技术支持人员,向用户提供了一个解决“安全问题”的电话号码。就像老套的Windows技术支持骗局一样,这个骗局正是利用了用户担心设备被黑的心理。
短信钓鱼 :通过短信进行的网络钓鱼
短信钓鱼是“网络钓鱼”和“短信”的混合词,短信(SMS)是大多数电话短信服务所使用的协议。这种网络攻击使用误导性的短信来欺骗受害者。目的是诱骗人们以为信息是可信任的人或组织发来的,然后说服你采取行动,让攻击者可以获得可利用的信息(比如银行账户登录信息)或访问你的移动设备。
由于人们阅读和回复短信的可能性比电子邮件高,因此短信钓鱼日益猖獗:人们阅读98%的短信和回复45%的短信,而阅读邮件和回复邮件的比例分别只有20%和6%。而用户对于计算机上的可疑消息不像对于电话上的可疑消息那么留意,而个人设备通常缺少公司PC采用的那种安全技术。
雪鞋攻击 :传播毒害信息
雪鞋攻击即“打了就跑”的垃圾邮件要求攻击者通过多个域和IP地址发送邮件。每个IP地址发送少量邮件,因此基于信誉或数量的垃圾邮件过滤技术无法立即识别和阻止恶意邮件。过滤系统还未来得及阻止,一些邮件就进入到了电子邮件收件箱。
冰雹活动与雪靴攻击的原理大致一样,只不过邮件在极短的时间内发送出去。就在反垃圾邮件工具反应过来并更新过滤系统以阻止将来的邮件时,一些冰雹攻击已结束了,而攻击者已经将目光转向了下一次活动。
学会识别不同类型的网络钓鱼
用户不善于了解受到网络钓鱼攻击带来的影响。精明的用户也许能够评估点击电子邮件中链接的风险,因为这可能导致恶意软件下载或后续的诈骗邮件索要钱财。然而,天真的用户可能认为什么都不会发生,或者到头来会收到垃圾邮件广告和弹出窗口。只有最精明的用户才能估计登录信息窃取和账户泄露可能造成的危害。这种风险评估上的缺口使用户更难明白识别恶意邮件的严重性。
企业组织需要考虑现有的内部意识运动,并确保为员工提供识别不同类型攻击的工具。企业组织还需要加强安全防护,因为垃圾邮件过滤系统等一些传统的电子邮件安全工具不足以防范一些类型的网络钓鱼攻击。