美国网络安全机构 CISA 与 NSA、FBI 和 MS-ISAC 发布了一份联合指南,详细介绍了常用的网络钓鱼技术,并提供了如何缓解这些技术的建议。
在网络钓鱼攻击中,威胁行为者依靠社会工程来诱骗受害者泄露其凭据或访问旨在部署恶意软件或窃取其登录信息的恶意网站,然后将其用于访问企业网络或其他资源。
在凭证盗窃网络钓鱼中,威胁行为者会冒充受信任的来源(例如主管或 IT 人员)来发送网络钓鱼电子邮件并说服收件人泄露其用户名和密码。
此外,美国政府机构在新指南 (PDF) 中指出,攻击者还被发现使用移动设备在各种聊天平台上发送短信,并使用 VoIP 来欺骗来电显示,作为网络钓鱼攻击的一部分。
为了降低凭证盗窃网络钓鱼的风险,建议组织实施多重身份验证 (MFA),但要避免弱形式,例如未启用 FIDO 或基于 PKI 的 MFA、未启用号码匹配的推送通知 MFA 以及 SMS和语音 MFA。
基于恶意软件的网络钓鱼还依赖于冒充可信来源来引诱收件人打开恶意附件或跟踪恶意链接,以执行恶意软件,从而导致初始访问、信息盗窃、系统中断或损坏或权限升级。
据观察,威胁行为者使用免费的公开工具发送鱼叉式网络钓鱼电子邮件、使用宏脚本发送恶意附件,以及通过流行的聊天服务传递超链接或恶意附件。
为了降低成功的凭证网络钓鱼攻击的风险,组织应该对员工进行社会工程培训,设置防火墙规则并启用电子邮件保护以防止可疑或恶意电子邮件,使用电子邮件和消息监控,实施防网络钓鱼的 MFA,防止用户重定向到恶意域名,阻止已知的恶意域名和IP,限制用户的管理权限,实施最小权限原则,阻止宏和恶意软件的执行。
CISA、NSA、FBI 和 MS-ISA 指出,软件制造商应在其开发过程中纳入安全设计和默认安全原则,以减少网络钓鱼攻击成功到达其用户的风险。
这些机构指出,新指南适用于所有组织的网络防御,但也包括专门针对中小型企业的部分,这些企业防御网络钓鱼攻击的资源可能有限。