網絡釣魚詐騙:如何發現和避免它們

已發表: 2022-09-20
獲取適合您的假冒保護計劃

網絡釣魚是最古老的網絡犯罪威脅之一,自互聯網誕生之初就存在。

然而,網絡釣魚詐騙也是任何組織面臨的最大網絡安全威脅之一,它的獨特之處在於它針對的是而不是軟件或硬件。

這意味著,即使您投資了最昂貴的網絡安全基礎設施,如果一名易受攻擊的員工受到網絡釣魚計劃的威脅,您的組織也可能面臨風險。 這是網絡釣魚如此危險的主要原因之一。

不幸的是,近年來網絡釣魚的危險在質量和數量上都有所增加。 根據反網絡釣魚工作組 (APWG) 的網絡釣魚活動趨勢報告,到 2022 年 3 月,網絡釣魚攻擊將達到 1,025,968 次,比 2021 年第四季度增加 15%。每次攻擊所使用的技術的複雜性和種類也有所增加最近幾年。

在本文中,我們將一起了解什麼是網絡釣魚、如何識別它們,以及組織如何更有效地保護其員工和客戶免受網絡釣魚攻擊。

在本指南結束時,您將了解:

  • 什麼是網絡釣魚詐騙?
  • 2022 年不同類型的網絡釣魚
  • 如何識別網絡釣魚企圖
  • 如何保護您的企業免受網絡釣魚攻擊
  • 如何報告成功和不成功的網絡釣魚嘗試並減輕損害

讓我們立即開始本指南。

什麼是網絡釣魚詐騙?

網絡釣魚是一種網絡犯罪,犯罪者在冒充名人或合法機構的同時聯繫目標受害者(或多個受害者),以引誘該受害者提供機密、敏感和/或有價值的信息,例如個人身份信息 (PII) 、銀行詳細信息、信用卡信息、帳戶憑據等。

“網絡釣魚”這個名稱類似於釣魚,指的是網絡犯罪如何從受害者那裡“釣魚”憑據、密碼和其他敏感信息。

網絡釣魚這個詞最早是在 1996 年左右被黑客竊取當時流行的 AOL(美國在線)帳戶而使用的。 1990 年代後期的黑客傾向於使用字母“ph”來代替“f”(即“phreaks”),因此得名“網絡釣魚”。

傳統上,網絡釣魚是通過電子郵件進行的,但現在網絡釣魚可以在電話、短信、社交媒體評論、社交媒體 DM、博客評論等各種不同的通信媒介中發生。

為什麼網絡犯罪分子會進行網絡釣魚?

簡短的回答是將被盜信息貨幣化。

與大多數其他犯罪活動(包括網絡犯罪)一樣,大多數網絡釣魚攻擊背後都有經濟動機。

然而,在某些情況下,動機不是經濟上的,例如個人仇殺或政治原因(即黑人運動),但它們相對較少。

那麼,網絡犯罪分子如何通過網絡釣魚賺錢呢? 了解他們的獲利技術可能有助於您識別網絡釣魚企圖,以下是一些示例:

  • 竊取您的信用卡信息,然後使用信用卡詳細信息在互聯網上購買商品。
  • 勒索,例如,當網絡犯罪分子成功提取敏感信息時,然後勒索受害者向他們支付一些錢,否則他們會將信息發布給公眾。
  • 向其他方(即您的競爭對手、其他黑客)出售敏感/個人信息。 暗網上的常見做法。
  • 使用您的信息發起另一項詐騙/網絡犯罪活動,例如,使用您的帳戶聯繫您的朋友以詐騙他們。

網絡釣魚攻擊的剖析

網絡釣魚是一種社會工程形式,它是一個總稱,用於指代通過人類互動實現的廣泛犯罪活動。

網絡釣魚依靠心理操縱來欺騙受害者洩露他們的敏感信息或犯下安全錯誤。

雖然網絡犯罪分子可以在網絡釣魚攻擊中使用不同的技術和方案,但通常他們會遵循以下模式:

  1. 犯罪者首先研究目標受害者和/或他們所處的環境,以收集必要的信息,例如潛在的安全漏洞和其他弱點。
  2. 施暴者發起聯繫,試圖獲得受害者的信任。
  3. 肇事者:
    1. 提供一些有價值的東西來觸發受害者的緊迫感。
    2. 向目標受害者灌輸恐懼,通常是虛構的威脅(例如,“您的帳戶將很快被刪除,我們需要驗證您的身份”)。
  4. 受害者被誘騙洩露他們的個人信息或憑據。

例如:

  1. 犯罪者將 Gmail 用戶作為其目標受害者,並研究了 Gmail 平台及其政策。
  2. 犯罪者使用類似於 Google 官方地址的電子郵件地址向 Gmail 用戶發送了一封電子郵件(例如,使用“Google.biz”域名。)
  3. 該電子郵件提醒用戶需要立即採取措施(即更改密碼、更改安全問題等)的政策違規行為,並且該電子郵件將包含指向與 Gmail 登錄頁面幾乎相同的虛假網站的鏈接。
  4. 受害者在偽造的登錄頁面上輸入他們當前的憑據,他們的憑據被有效地發送給攻擊者。

這只是網絡犯罪分子每天執行的眾多不同網絡釣魚技術和計劃的一個示例。 但是,我們可以將網絡釣魚攻擊分為幾種主要類型,我們將在下面討論。

使用 AI 驅動的技術自動化您的假冒保護

不同類型的網絡釣魚攻擊

1. 電子郵件網絡釣魚

最基本的網絡釣魚計劃類型,顧名思義,涉及犯罪者在冒充知名品牌或個人的同時發送電子郵件。

該電子郵件將包含指向惡意網站的鏈接或包含會感染收件人設備的惡意軟件的附件。

如何識別:

雖然網絡犯罪分子在發起電子郵件網絡釣魚方面變得越來越老練,但您通常可以尋找以下跡象:

  • 檢查發件人電子郵件地址的域名並確保其合法。
  • 如果電子郵件包含任何联系信息,請將該聯繫信息與該電子郵件聲稱來自的公司網站上的聯繫信息進行交叉核對。
  • 避免點擊任何縮短的鏈接。 這是用於欺騙安全電子郵件網關的常用技術。
  • 仔細檢查任何看起來合法的徽標並查看源代碼。 它們往往包含惡意 HTML 屬性。
  • 當電子郵件的文本很少且正文中只有圖像/照片時,請合理懷疑。 該圖像可能隱藏惡意代碼。

2.魚叉式網絡釣魚

魚叉式網絡釣魚通常也使用電子郵件作為主要通信媒介,因此可以將其視為電子郵件網絡釣魚的一種變體。

主要區別在於魚叉式網絡釣魚更具針對性的方法,通常針對單個受害者(或一小群受害者)。

肇事者首先對目標受害者進行深入研究,以收集有關受害者的信息,例如從社交媒體、公司網站等,然後利用收集到的真實姓名等信息,通過個性化方案針對該受害者(受害者的老闆或 HRD 經理的電話號碼,)工作電話號碼,等等,以獲得受害者的信任。

最終,由於受害者使用了有效信息,從而相信了詐騙者的身份,從而落入了作案者的圈套。

如何識別:

由於肇事者進行了大量的研究以及他們使用的看似有效的信息,識別魚叉式網絡釣魚攻擊可能更具挑戰性。 但是,請查找以下內容:

  • 一封聲稱來自您的老闆或公司重要人員的電子郵件,其中包含受密碼保護的文件或文件,要求您輸入用戶名和密碼。 這是竊取憑據的常見方案。
  • 一般來說,考慮到所謂的發件人的工作職能,請注意任何看似不尋常的請求。
  • 另一種常見的方案是鏈接到存儲在 Google Drive、Dropbox 或其他基於雲的存儲服務上的文檔。 這些鏈接通常會將您重定向到惡意網站。

3. 捕鯨

魚叉式網絡釣魚策略的另一種變體,捕鯨或通常也稱為“CEO 欺詐”,涉及犯罪者使用開源情報 (OSINT) 技術查找組織 CEO 或高層管理人員的姓名,然後使用假冒冒充該人電子郵件地址。

然後,犯罪者將針對公司的員工,要求收款人提供他們的賬戶憑證、銀行信息,甚至要求收款人進行匯款。

如何識別:

  • 仔細檢查發件人的電子郵件地址,確保它來自公司的官方電子郵件地址。 一個常見的技巧是聲稱電子郵件來自他們的個人地址(即,他們目前無法訪問他們的工作電子郵件。)
  • 毫不猶豫地與公司中的其他人確認,甚至給聲稱來自電話的電子郵件的人。
  • 如果電子郵件聲稱來自您公司中從未聯繫過的人,請格外小心。

4. HTTPS 網絡釣魚

我們中的許多人都受過培訓,HTTPS 網站是端到端加密的,因此在提交個人信息和憑據時是安全的。

然而,許多詐騙者在他們的網絡釣魚嘗試中利用這些知識,在網絡釣魚電子郵件中鏈接的虛假網站中使用 HTTPS 協議。

如何識別:

  • 檢查鏈接是否使用超文本隱藏真實URL
  • 重新檢查鏈接是否沒有縮短,並且顯示了URL的所有部分

5. 釣魚

“語音網絡釣魚”的縮寫,顧名思義,這是通過電話進行的網絡釣魚嘗試。

通常,肇事者會在繁忙時間打電話,恰逢壓力大的季節、時期或事件,聲稱來自一家成熟的公司並製造一種高度的緊迫感。

這樣做的目的是讓電話產生恐慌感,使接收者迷惑而犯安全錯誤並洩露他們的敏感信息。

如何識別:

  • 如果來電要求對來電者類型採取異常行動,尤其是當它要求提供敏感或個人信息時,請保持合理的懷疑。
  • 仔細檢查來電號碼是否來自不尋常的位置或被阻止。
  • 使用允許您檢查來自未知號碼的來電身份的移動應用程序。 iOS和Android設備都有很多這樣的應用程序。
  • 最好避免在緊張的時間或情況下接聽來自未知號碼的電話。

6. 搗蛋

“SMS 網絡釣魚”的縮寫,它是通過短信 (SMS) 進行的網絡釣魚嘗試。

通常,犯罪者會發送一條聲稱來自已建立的組織或公司的短信,該短信將包含一個包含惡意軟件​​和/或將您重定向到惡意網站的鏈接。

由於許多人傾向於將短信視為更加個人化和“無害”,因此詐騙可能會讓受害者措手不及。

如何識別:

  • 在點擊任何鏈接之前,請直接查看該短信聲稱來自公司的網站,是否有任何與短信要求的操作相關的通知。
  • 不要猶豫,聯繫公司合法網站上列出的號碼,確認短信的合法性。
  • 在單擊任何鏈接或採取任何建議的操作之前,請查看發件人的區號和號碼並將其與您的聯繫人列表進行比較。

7.釣魚者網絡釣魚

釣魚者網絡釣魚是針對社交媒體用戶的一種特定類型的網絡釣魚,主要涉及犯罪者使用假冒知名公司或個人的社交媒體賬戶。

釣魚者網絡釣魚特別利用了社交媒體上企業和客戶之間的互動變得越來越頻繁和預期的事實。 犯罪者通過通知和 DM 與目標受害者接觸,誘騙他們犯下安全錯誤。

如何識別:

  • 仔細檢查帳戶是否有藍色勾號(已驗證帳戶)。
  • 警惕包含可能將您重定向到惡意網站的鏈接的通知。
  • 避免點擊來自那些很少分享鏈接的人(或從未向您發送消息的人/帳戶)中的任何鏈接,即使該鏈接看起來是合法的。
  • 如果任何 DM 來自您認識的人,他們很少給您發信息,請仔細檢查該帳戶,因為它可能是假冒的或新創建的

8. 醫藥

Pharming 是一種相當高級的網絡釣魚形式,其名稱是“網絡釣魚”和“農業”的組合。

一種常見的域名欺騙技術涉及犯罪者劫持 DNS 以將試圖訪問特定網站的用戶重定向到虛假網站。

複雜的域名欺騙嘗試可能很難被發現。

如何識別:

  • 如果網站使用的是 HTTP 而不是 HTTPS,請仔細檢查網站的 URL
  • 尋找可能表示虛假網站的不一致之處,例如拼寫錯誤、顏色不匹配、設計不當、內容薄弱等。

如何保護您的企業免受網絡釣魚攻擊

上面,我們學習瞭如何識別主要類型的網絡釣魚技術以及保護自己免受這些技術侵害的基本步驟。

在本節中,我們還將討論一些重要的最佳實踐,以保護您和您的企業免受各種網絡釣魚攻擊:

1. 教育你的員工

由於網絡釣魚基本上是社會工程,因此您應該擁有的第一道防線是確保您的員工接受必要的教育和培訓,以識別網絡釣魚企圖並保護他們的憑據/敏感信息。

將網絡釣魚意識培訓作為員工入職計劃的一部分,並定期更新培訓以包含更新的方法和趨勢。

2.需要多因素認證

在您的員工被誘騙洩露其憑據的情況下,要求多因素身份驗證可以降低成功進行網絡釣魚的風險。

使用多因素身份驗證,您將要求您的員工在登錄您的網​​絡和應用程序之前提供除密碼之外的另一條信息。

次要(或更多)信息可以是:

  • 它們是:生物識別,如面部 ID 或指紋
  • 他們知道的東西:另一個密碼、PIN、安全問題的答案等。
  • 他們擁有的東西:要配對的設備、鑰匙卡、USB 加密狗等。

3.定期備份

成功的網絡釣魚攻擊可能會導致惡意軟件感染,包括勒索軟件,這可能會導致您無法訪問某些文件/應用程序,甚至導致系統完全故障。

為了降低這種風險,請定期備份您的數據。

我們建議遵循 3-2-1 備份原則:數據的 3 個副本,在 2 個不同的介質上,其中 1 個保存在異地。

在網絡釣魚攻擊中停止冒充您的品牌

與網絡釣魚相關的另一個問題是網絡犯罪分子將您的域名或品牌名稱用作其網絡釣魚計劃的一部分。

儘管從技術上講這不是您的錯,但網絡釣魚攻擊的受害者可能會指責詐騙者冒充的品牌,從而對品牌的聲譽造成負面影響。

雖然 100% 防止網絡犯罪分子冒充您的品牌可能非常困難,但您的企業可以採取一些措施來降低風險:

  • 在您的網站上使用 SSL 證書 (HTTPS)。 這樣,當詐騙者想要冒充您的網站時,除了假證書外,他們還需要獲得合法的 SSL 證書。 這可能會讓他們灰心。
  • 使用 DKIM 或 DMARC 等協議向您的企業發送或接收的電子郵件添加驗證。 這可以防止外部方使用您的域名發送虛假電子郵件,有效防止電子郵件釣魚。
  • 註冊您的域名的變體(不同的 TLD、潛在的拼寫錯誤等),以防止這些變體被用於網絡釣魚嘗試。
  • 使用紅點域名管理幫助實時保護您的企業域名。 紅點可以在自動駕駛的許多不同平台上有效地捕獲使用您的域名的網絡釣魚嘗試,無需任何人工干預。 紅點還可以幫助您在假冒網站對您的聲譽產生任何負面影響之前將其刪除。

下一步是什麼

雖然詐騙者和網絡犯罪分子執行了許多不同類型的網絡釣魚攻擊,但所有網絡釣魚攻擊都具有以下共同特徵:

  • 製造緊迫感:施暴者經常通過虛構的緊急威脅嚇唬您或通過限時優惠來吸引您,從而敦促您迅速採取行動。 一些網絡釣魚計劃甚至會告訴您,您只有幾分鐘的時間來響應。
  • 好得令人難以置信:網絡釣魚通常涉及吸引註意力和有吸引力的報價和聲明。 例如,聲稱您贏得了 iPhone 並要求您點擊一個鏈接。
  • 不尋常的發件人:特別注意網站的 URL 和發件人的電子郵件地址。 如果電子郵件來自您不認識的人,或者您看到任何異常情況,請避免點擊任何內容。
  • 可疑鏈接:除非您 100% 確定,否則不要點擊任何鏈接。 您可以將鼠標懸停在鏈接上,以便檢查實際 URL 並仔細查看該 URL 是否合法。
  • 危險的附件:永遠不要點擊您不能 100% 確定的電子郵件中的任何附件。 附件可能包含惡意軟件​​、勒索軟件或其他病毒。

雖然沒有單一的方法可以避免網絡釣魚攻擊,但您可以結合使用上述技巧來防止它們並減輕損害。

同樣重要的是要記住,除了建立強大的網絡安全基礎設施和最佳實踐之外,防止網絡釣魚的另一個關鍵要素是教育。 當涉及網絡釣魚和其他社會工程計劃時,您的組織僅與其中知識最少的人一樣安全。