在高度數碼化的世界中,網絡釣魚攻擊是一種持續存在的威脅,也是個人和機構一直關注的問題。魚叉式網絡釣魚攻擊是這類網絡犯罪的一個子集,尤其值得關注。但是,魚叉式網絡釣魚到底是甚麽方式的攻擊?
魚叉式網絡釣魚:定義
網絡釣魚是透過電子郵件、短訊或電話進行的網絡攻擊的統稱,但有些人可能想知道有針對性的網絡釣魚攻擊的名稱。答案就是魚叉式網絡釣魚。簡單而言,這些都是針對特定個人或公司的高度私人化的網絡攻擊。這些攻擊通常是透過魚叉式網絡釣魚電子郵件進行的,這些電子郵件在收件人看來是合法的,並促使他們與攻擊者分享敏感資料。雖然魚叉式網絡釣魚攻擊的目的通常是竊取登入憑據或信用卡資料等資訊,但有些攻擊是為了令設備感染惡意軟件。通常,政府所支持的黑客和黑客行動主義者是魚叉式網絡釣魚欺詐的作惡者。不過,個別網絡犯罪分子也會進行這些攻擊,目的是進行身份盜竊或金融欺詐、操縱股價、從事間諜活動或竊取機密數據,以便向政府、私營公司或其他感興趣的個人轉售。
魚叉式網絡釣魚詐騙之所以比普通的網絡釣魚攻擊更加成功,是因為攻擊者對目標進行了廣泛的研究。他們會利用找到的資訊和使用社交工程技術來創建特別定制的攻擊,欺騙目標並令他們以為收到的是合法的電子郵件和請求。因此,即使是機構內的高風險目標,例如,總監級別的高級管理人員也會發現自己打開了本以為安全的電子郵件。這類無心之失讓網絡犯罪分子得以竊取可用於攻擊目標網絡的所需數據。
魚叉式網絡釣魚攻擊如何運作?
成功的魚叉式網絡釣魚欺詐基本上包括五個步驟。這些是:
- 確定攻擊的目標
- 透過初步研究選擇目標
- 確定目標候選名單並進行深入研究
- 利用收集到的資訊和使用社會工程學技術創建魚叉式網絡釣魚電子郵件。
這些針對性的攻擊之所以奏效是因為魚叉式網絡釣魚電子郵件會讓收件人產生一種熟悉的感覺。攻擊者花費大量時間和精力,盡量跟蹤收集收件人的工作、生活、朋友和家人的詳細資訊。透過搜索互聯網以及 Facebook 和 LinkedIn 等平台上的社交媒體資料,網絡釣魚者可以找到電子郵件地址和電話號碼、朋友、家人和業務聯絡人、經常出現的地點等資訊,以及他們受僱的公司和職位、網上購物地點、使用的銀行服務等。利用所有這些資訊,攻擊者可以針對潛在目標建立一個廣泛的背景概況,並利用社交工程技術創作魚叉式網絡釣魚電子郵件。這些私人化的電子郵件看起來是合法的,因為它們來自目標對象經常接觸的個人或公司,而所包含的資訊也可能是真實的。
電子郵件通常會要求收件人立即回覆並提供某些資料,或者包含一個連結,誘使他們在一個偽冒合法網站的網站上輸入這些資料。例如,電子郵件的連結可能會引導他們進入一個虛假的銀行網站或喜歡光顧的電子商務網站,而在那裡他們必須登入自己的帳戶。此時,攻擊者就能竊取登入資料和密碼,並用於自己的惡意目的。但有時,電子郵件中包含的附件或連結會在收件人下載或點擊後在其設備上安裝惡意軟件。攻擊者可以借此竊取他們需要的資訊,或騎劫電腦,將它們組織成巨大的網絡,即僵屍網絡,用於實施拒絕服務(DoS)攻擊。
不過,請務必緊記,並非每個互聯網使用者或社交媒體個人檔案都是魚叉式網絡釣魚的良好攻擊目標。由於魚叉式網絡釣魚比普通網絡釣魚需要付出更多精力,網絡犯罪分子通常會尋找高價值目標。通常情況下,攻擊者會使用自動算法在互聯網和社交媒體上搜尋某些資訊(例如密碼或 PIN 碼),並識別出比較有可能成功實施魚叉式網絡釣魚攻擊的高價值個人。
這些欺詐已經變得非常複雜,一般人幾乎無法攻破。所以,雖然沒有萬無一失可預防魚叉式網絡釣魚的網絡安全措施,但瞭解這些攻擊是如何運作的以及瞭解需要注意哪些跡象將有助避免這些攻擊。
識別魚叉式網絡釣魚欺詐
學習如何防範魚叉式網絡釣魚的關鍵因素之一是瞭解網絡釣魚者為確保攻擊成功而採用哪些不同技術。這樣,個人和公司員工就能防範魚叉式網絡釣魚欺詐。當收到帶有以下警示的電子郵件時,一定要謹慎對待。
- 電子郵件的設計目的是螢造一種緊迫感或恐慌感 -- 電子郵件可能聲稱來自公司經理,並緊急要求提供登入資料,以執行一項具有時間敏感性的行動。
- 這種語言方式旨在引起受眾的情緒,例如恐懼或內疚,從而促使他們採取行動。
- 電子郵件地址看起來不正確 -- 可能域名不正確,或者名稱格式異常。
- 明顯的拼寫和語法錯誤,尤其是銀行等大型機構的電子郵件。
- 要求提供敏感資訊和個人資料。
- 當鼠標懸停在連結上時,拼寫錯誤或格式不正確的連結與目標地址不相符。
- 未經請求的附件,尤其是檔案名稱不常見的附件。
- 使用借口,例如說你的登入憑據即將過期,必須立即使用電子郵件中的連結進行更改。
魚叉式網絡釣魚和網絡釣魚有何區別?
雖然兩種都是網絡攻擊的類型,但瞭解魚叉式網絡釣魚攻擊與網絡釣魚攻擊的區別可能很重要。這兩種攻擊都被網絡犯罪分子用來引誘用戶分享敏感的個人資料,但從本質上講,前者是針對指定目標的私人化攻擊,而後者則是廣泛的攻擊,目的是以「釣魚」方式獲取他們可以誘騙用戶分享的任何敏感數據。
網絡釣魚攻擊通常涉及普通電子郵件,試圖迫使接收者分享密碼和信用卡資料等個人資料。然後,網絡釣魚者會利用這些資料於採取惡意手段,例如身份盜用或金融欺詐。最重要的是,網絡釣魚攻擊並非針對收件者而量身定制。網絡犯罪分子基本上是在碰運氣,追求數量(發送大量網絡釣魚電子郵件)而非質量(使用更複雜的技術製作網絡釣魚電子郵件,從而提高成功的機率)。通常,這些電子郵件會冒充大公司(例銀行或電子商務商店),並包含惡意連結,誘騙收件者分享數據或在其設備上安裝惡意軟件。
相反,魚叉式網絡釣魚詐騙則是高度針對性,對目標受害者非常個人化的攻擊。由於魚叉式網絡釣魚電子郵件包含與特定收件者有關的詳細資訊,因此看起來更合法,特別是它們通常來自收件者熟悉的個人或機構。因此,網絡犯罪分子必須投入更多的時間和精力來發動魚叉式網絡釣魚攻擊,而且更有可能得手。
對於那些想知道針對性網絡釣魚攻擊的名稱的人,除了魚叉式網絡釣魚,還有兩個特定的子集:捕鯨和商業電子郵件破壞(BEC)。
捕鯨式攻擊是第三類攻擊,與網絡釣魚和魚叉式網絡釣魚詐騙有許多相似之處。捕鯨專門針對高知名度的個人,例如行政總裁、董事會成員、名人和政客。這些攻擊也會使用高度個人化的電子郵件,試圖竊取公司或機構的財務、敏感或其他機密資訊,並可能對相關機構造成重大的財務或聲譽損失。
最後一種網絡釣魚攻擊是 BEC,它是假冒公司員工對機構進行財務欺詐。在某些情況下,電子郵件可能聲稱來自某個總監級別的高層管理人員,要求下級員工向「高層管理人員」支付虛假發票或進行轉賬。BEC 還可能採取對電子郵件進行修改的方式,即攻擊者騎劫員工的電子郵件,要求供應商支付假發票或要求其他員工轉移資金或機密資訊。
如何防止魚叉式網絡釣魚
傳統的魚叉式網絡釣魚網絡安全防護通常都不足以防範這些攻擊,因為它們執行方式特別精細。因此,這種攻擊越來越難被發現。無論是個人、政府、企業還是非牟利機構,一個簡單的錯誤都可能為受攻擊的目標帶來嚴重後果。雖然這些攻擊非常普遍,而且個性人程度很高,但個人或機構可以採取很多措施來預防魚叉式網絡釣魚。雖然這些措施不能完全消除這些攻擊的威脅,但它們提供了更多層次的安全保障,可能有助減少發生這些攻擊。以下是一些關於如何防範魚叉式網絡釣魚的專家建議。
- 定期檢查可疑郵件,例如要求更改密碼或包含可疑連結的郵件。
- 使用虛擬專用網絡(VPN)保護和加密所有網上活動。
- 使用防毒軟件掃描所有電子郵件,檢查是否存在潛在的惡意電子郵件附件、連結或下載。
- 學會檢查電子郵件來源的真實性。
- 瞭解如何驗證網址和網站,避免打開惡意連結。
- 不要點擊電子郵件中的連結,反而應直接瀏覧該機構的網站,搜尋需要的頁面。
- 確保所有軟件都是最新版本,並運行最新的安全修補程式。
- 慎防在網上分享過多個人資料 -- 如有必要,檢查社交媒體個人檔案,刪除可能被網絡釣魚者利用的內容,並確保私隱設定為最高級別。
- 使用密碼管理器,養成智能密碼習慣,包括為不同帳戶建立複雜密碼並定期更改。
- 在可能的情況下,啟用多因素或生物識別身份驗證。
- 如果對電子郵件的來源有疑問,請聯絡相關人員或機構,核實他們是否發送了電子郵件並要求提供所需的資訊。
- 公司可以提供安全意識培訓,確保員工瞭解這些攻擊的風險以及如何減輕風險。
- 企業可以定期進行網絡釣魚模擬攻擊,培訓員工如何識別和處理可疑電子郵件。
魚叉式網絡釣魚攻擊並非不可避免
大多數互聯網使用者都對網絡釣魚有基本的瞭解,但最重要的是要瞭解魚叉式網絡釣魚和標準網絡釣魚之間的區別。由於魚叉式網絡釣魚電子郵件使用的是社會工程學技術,需要進行大量的研究,因此這些攻擊是針對目標對象量身定制的,成功幾率遠遠高於標準的網絡釣魚攻擊。雖然這些攻擊總是構成風險,但我們可以嘗試減輕所造成的影響。採取措施瞭解可疑電子郵件中應注意的警示信號類型、經常使用 VPN 和防毒軟件、警惕可疑連結和附件,都有助避免魚叉式網絡釣魚攻擊。
常見問題
購買 Kaspersky Premium 可享 1 年免費 Kaspersky Safe Kids。Kaspersky Premium 榮獲五項 AV-TEST 獎項,分別是最佳保護、最佳效能、最快 VPN,Windows 批准的家長控制和 Android 家長控制的最佳評級。
相關產品和服務: