什麼是網絡釣魚?
一種用於獲取有價值的用戶數據的技術,攻擊者可以將這些數據出售或濫用,用於惡意目的,例如敲詐勒索、金錢盜竊或身份盜竊。
您是否曾收到過看似來自銀行或其他流行在線服務的電子郵件、文本或其他形式的電子通信,要求您“確認”您的帳戶憑據、信用卡號或其他敏感信息? 如果是這樣,您就已經知道常見的網絡釣魚攻擊是什麼樣的。
這個詞的由來
這個概念首先在 1987 年 Jerry Felix 和 Chris Hauck 的會議論文中描述,題為“系統安全:黑客的觀點”(1987 Interex Proceedings 1:6)。 它討論了攻擊者模仿信譽良好的實體或服務的技術。 這個詞本身是“釣魚”目標的同音字——因為它使用相同的“誘餌”邏輯。 開頭的“ph-”指的是“phreaks”,一群黑客在 1990 年代嘗試並非法探索電信系統的邊界。
網絡釣魚是如何運作的?
網絡釣魚已經存在多年,在那個時候,攻擊者開發了多種方法來針對受害者。
最常見的網絡釣魚技術是通過電子郵件冒充銀行或金融機構,引誘受害者填寫電子郵件中或附件中的虛假表格,或訪問要求輸入帳戶詳細信息或登錄憑據的網頁。
閱讀更多
從受害者那裡竊取的信息通常被濫用來清空他們的銀行賬戶或在網上出售。
類似的攻擊也可以通過電話 (vishing) 和 SMS 消息 (smishing) 執行。
魚叉式釣魚
一種更高級的網絡釣魚方法,通過這種方法,看似真實的網絡釣魚郵件會進入特定群體、組織甚至個人的收件箱。 魚叉式網絡釣魚電子郵件的作者事先對其目標進行了詳細研究,因此很難將內容識別為欺詐內容。
由於潛在回報的規模(壞人追逐“大魚”),針對特定的、主要是知名企業個人(例如高層管理人員或所有者)的攻擊被標記為“捕鯨”。
如何識別網絡釣魚
過去,經常使用拼寫錯誤或誤導性的域名來實現這一目的。 今天,攻擊者採用了更複雜的方法,使鏈接和虛假頁面與合法頁面非常相似。
電子郵件或電子消息可能包含官方徽標或信譽良好的組織的其他標誌,並且仍然來自網絡釣魚者。 以下是一些可以幫助您發現網絡釣魚郵件的提示。
可疑跡象
- 通用或非正式的問候 – 如果一條消息缺乏個性化(例如“親愛的客戶”)和形式,那麼可能有問題。 這同樣適用於使用隨機、虛假參考號的偽個性化
- 個人信息請求 – 網絡釣魚者經常使用,銀行、金融機構和大多數在線服務通常會避免使用
- 糟糕的語法 – 拼寫錯誤、錯別字和不尋常的措辭通常表明是假的(但缺少任何這些都不能證明其合法性)
- 意外通信 – 來自銀行或在線服務提供商的主動聯繫非常不尋常,因此很可疑
- 緊迫感 - 網絡釣魚郵件通常會試圖引發快速且不經考慮的行動
- 一個你無法拒絕的提議? – 如果消息聽起來好得令人難以置信,那幾乎可以肯定
- 可疑域名 – 美國或德國銀行真的會從中國域名發送電子郵件嗎?
如何保護自己免受網絡釣魚
為避免網絡釣魚誘餌,請注意網絡釣魚郵件所依據的上述指標
通常放棄自己。 請按照以下簡單步驟操作:
注意新的網絡釣魚技術
關注媒體的網絡釣魚攻擊報告,因為攻擊者可能會想出新的技術來引誘用戶進入陷阱。
不要洩露您的個人信息
如果來自看似值得信賴的實體的電子消息要求您提供憑據或其他敏感詳細信息,請始終保持警惕。
點擊前請三思
如果可疑郵件提供鏈接或附件,請勿點擊或下載。 這樣做可能會將您帶到惡意網站或使用惡意軟件感染您的設備。
定期檢查您的在線帳戶
即使您不懷疑有人試圖竊取您的憑據,也要檢查您的銀行賬戶和其他在線賬戶是否有可疑活動。 以防萬一。
使用可靠的反網絡釣魚解決方案
應用這些技術和“享受更安全的技術”。
值得注意的例子
系統網絡釣魚始於 1995 年的美國在線 (AOL) 網絡。為了竊取合法的帳戶憑據,攻擊者通過 AOL Instant Messenger (AIM) 聯繫受害者,通常冒充 AOL 員工驗證用戶密碼。 “網絡釣魚”一詞出現在一個 Usenet 新聞組中,該新聞組專注於一個名為 AOHell 的工具,該工具可以自動執行此方法,並且這個名字被保留了下來。 在 AOL 於 1997 年推出對策後,攻擊者意識到他們可以在在線領域的其他部分使用相同的技術——並開始冒充金融機構。
其他過去的例子
2001 年,利用 9/11 恐怖襲擊的混亂局面,進行了第一次大規模的嘗試,儘管失敗了。 網絡釣魚者發送電子郵件要求一些受害者進行身份檢查,試圖濫用獲得的數據從數字貨幣服務 e-gold 中竊取財務細節。
網絡釣魚僅用了三年時間就在網絡世界站穩了腳跟,到 2005 年,它已經讓美國用戶損失了超過 9 億美元。
根據 APWG 全球網絡釣魚調查,2016 年觀察到超過 250,000 次獨特的網絡釣魚攻擊,使用惡意註冊的域名數量創歷史新高——超過 95,000 個。 近年來,網絡釣魚者傾向於關注銀行、金融和貨幣服務、電子商務客戶以及社交網絡和電子郵件憑據。