魚叉式網絡釣魚定義 | 什麼是魚叉式網絡釣魚?
目錄
魚叉式網絡釣魚定義
魚叉式網絡釣魚是一種誘騙受害者洩露機密信息的網絡攻擊。 任何人都可能成為魚叉式網絡釣魚攻擊的目標。 犯罪分子可能以政府僱員或私營公司為目標。 魚叉式網絡釣魚攻擊假裝來自受害者的同事或朋友。 這些攻擊甚至可以模仿 FexEx、Facebook 或亞馬遜等知名公司的電子郵件模板。
網絡釣魚攻擊的目標是讓受害者單擊鏈接或下載文件。 如果受害者單擊鏈接並被引誘在虛假網頁上輸入登錄信息,那麼他們只是將憑據提供給了攻擊者。 如果受害者下載了一個文件,那麼惡意軟件就會安裝在計算機上,此時,受害者已經放棄了該計算機上的所有活動和信息。
許多魚叉式網絡釣魚攻擊都是由政府資助的。 有時,攻擊來自將信息出售給政府或公司的網絡犯罪分子。 對公司或政府的成功魚叉式網絡釣魚攻擊可能會導致巨額贖金。 谷歌和 Facebook 等大公司因這些攻擊而蒙受損失。 大約三年前, BBC報導 兩家公司 被騙了 一個黑客每人約 100 億美元.
魚叉式網絡釣魚與網絡釣魚有何不同?
網絡釣魚和魚叉式網絡釣魚雖然目的相似,但手段不同. 網絡釣魚攻擊是針對一大群人的一次性嘗試。 它是通過為此目的而設計的現成應用程序完成的。 執行這些攻擊不需要太多技巧。 常規網絡釣魚攻擊的想法是大規模竊取憑據。 這樣做的犯罪分子的目標通常是在暗網上轉售憑據或耗盡人們的銀行賬戶。
魚叉式網絡釣魚攻擊要復雜得多。 它們通常針對特定的員工、公司或組織。 與一般的網絡釣魚電子郵件不同,魚叉式網絡釣魚電子郵件看起來像是來自目標認可的合法聯繫人. 這可以是項目經理或團隊負責人。 目標 已計劃 並進行了深入研究。 魚叉式網絡釣魚攻擊通常會利用公開信息來模仿目標角色。
例如,攻擊者可能會研究受害者並發現他們有一個孩子。 然後他們可能會使用該信息來製定如何使用該信息對付他們的策略。 例如,他們可能會發出虛假的公司公告,詢問他們是否願意為他們的孩子提供免費日托服務。 這只是魚叉式網絡釣魚攻擊如何使用公開數據(通常通過社交媒體)對您進行攻擊的一個例子。
獲得受害者的憑證後,攻擊者可以竊取更多的個人或財務信息. 這包括銀行信息、社會安全號碼和信用卡號碼。 魚叉式網絡釣魚需要對受害者進行更多研究才能突破防禦 順利.魚叉式網絡釣魚攻擊通常是對公司進行更大規模攻擊的開始。
魚叉式網絡釣魚攻擊如何運作?
在網絡犯罪分子進行魚叉式網絡釣魚攻擊之前,他們會研究他們的目標。 在此過程中,他們會找到目標的電子郵件、職位和同事。 其中一些信息位於目標工作的公司的網站上。 他們通過目標的 LinkedIn、Twitter 或 Facebook 找到更多信息。
收集信息後,網絡罪犯開始製作他們的信息。 他們創建的消息看起來像是來自目標熟悉的聯繫人,例如團隊負責人或經理。 網絡罪犯可以通過多種方式向目標發送消息。 電子郵件之所以被使用,是因為它們在公司環境中經常使用。
由於使用的電子郵件地址,魚叉式網絡釣魚攻擊應該很容易識別。 攻擊者不能擁有與攻擊者冒充的人擁有的地址相同的地址。 為了愚弄目標,攻擊者偽造了目標聯繫人之一的電子郵件地址。 這是通過使電子郵件地址看起來盡可能與原始地址相似來完成的。 他們可以用“0”代替“o”,用大寫的“I”代替小寫的“l”,等等。 這一點,再加上電子郵件內容看起來合法,使得很難識別魚叉式網絡釣魚攻擊。
發送的電子郵件通常包含文件附件或指向目標可以下載或單擊的外部網站的鏈接。 該網站或文件附件可能包含惡意軟件。 一旦下載到目標設備上,惡意軟件就會執行。 惡意軟件與網絡罪犯的設備建立通信。 一旦開始,它就可以記錄擊鍵、收集數據並執行程序員的命令。
誰需要擔心魚叉式網絡釣魚攻擊?
每個人都需要警惕魚叉式網絡釣魚攻擊。 某些類別的人更有可能 被攻擊 比別人。 在醫療、金融、教育或政府等行業擔任高級職位的人面臨更大的風險. 對這些行業中的任何一個成功的魚叉式網絡釣魚攻擊都可能導致:
- 數據洩露
- 大筆贖金
- 國家安全威脅
- 名譽損失
- 法律後果
您無法避免收到網絡釣魚電子郵件。 即使您使用電子郵件過濾器,一些魚叉式網絡釣魚攻擊也會通過。
處理此問題的最佳方法是培訓員工如何發現欺騙性電子郵件。
如何防止魚叉式網絡釣魚攻擊?
您可以採取幾個步驟來防止魚叉式網絡釣魚攻擊。 以下是針對魚叉式網絡釣魚攻擊的預防和保護措施列表:
- 避免在社交媒體上發布過多有關您自己的信息。 這是網絡犯罪分子為獲取有關您的信息而進行的第一站訪問。
- 確保您使用的託管服務具有電子郵件安全和反垃圾郵件保護。 這是抵禦網絡罪犯的第一道防線。
- 在確定電子郵件的來源之前,請勿單擊鏈接或文件附件。
- 警惕未經請求的電子郵件或帶有緊急請求的電子郵件。 嘗試通過其他通信方式驗證此類請求。 給可疑人員打電話、發短信或面對面交談。
組織需要對員工進行魚叉式網絡釣魚策略的教育。 這有助於員工在遇到魚叉式網絡釣魚電子郵件時知道該怎麼做。 這是教育可以 取得成就 使用魚叉式網絡釣魚模擬。
您可以教您的員工如何避免魚叉式網絡釣魚攻擊的一種方法是通過網絡釣魚模擬.
魚叉式網絡釣魚模擬是讓員工快速掌握網絡犯罪分子魚叉式網絡釣魚策略的絕佳工具。 它是一系列交互式練習,旨在教用戶如何識別魚叉式網絡釣魚電子郵件以避免或報告它們。 接觸過魚叉式網絡釣魚模擬的員工更有可能發現魚叉式網絡釣魚攻擊並做出適當的反應。
魚叉式網絡釣魚模擬如何工作?
- 通知員工他們將收到一封“假的”網絡釣魚電子郵件。
- 向他們發送一篇描述如何預先發現網絡釣魚電子郵件的文章,以確保他們在測試之前得到通知。
- 在您宣佈網絡釣魚培訓的月份的隨機時間發送“假”網絡釣魚電子郵件。
- 衡量有多少員工因網絡釣魚嘗試而陷入困境的統計數據與沒有或誰報告了網絡釣魚企圖的人數。
- 通過發送有關網絡釣魚意識的提示和每月對您的同事進行一次測試來繼續培訓。
為什麼我要模擬網絡釣魚攻擊?
如果您的組織遭到魚叉式網絡釣魚攻擊,成功攻擊的統計數據會讓您清醒過來。
魚叉式網絡釣魚攻擊的平均成功率為網絡釣魚電子郵件的 50% 點擊率。
這是貴公司不想要的責任類型。
當您在工作場所提高對網絡釣魚的認識時,您不僅僅是在保護員工或公司免受信用卡欺詐或身份盜用。
網絡釣魚模擬可以幫助您防止數據洩露,這些數據洩露會使您的公司損失數百萬的訴訟和數百萬的客戶信任。
>>如果您想查看大量網絡釣魚統計數據,請繼續查看我們的 2021 年網絡釣魚終極指南。<<
如果你想開始免費試用經 Hailbytes 認證的 GoPhish 網絡釣魚框架, 你可以在這里聯系我們 欲了解更多信息或 立即開始您在 AWS 上的免費試用。
