网络钓鱼是最流行和最常见的社会工程攻击形式之一。
作为一种针对和利用人类智能的网络攻击,网络钓鱼过去已成功针对多家小型和大型公司。 据调查显示,超过 80% 的组织 2020 年至少经历过一次成功的网络钓鱼攻击尝试。
此外,一个 网络钓鱼活动趋势报告 研究表明,2019 年至 2022 年间,网络钓鱼攻击显着增长了 150%,2022 年的攻击数量达到破纪录的 470 万次。
虽然网络钓鱼是网络攻击的一个广泛类别,但其他类型的网络钓鱼攻击包括网络钓鱼、电子邮件网络钓鱼、鱼叉式网络钓鱼、克隆网络钓鱼等。
其中,鱼叉式网络钓鱼是最普遍、最复杂的网络攻击之一,形成了超过 91% 的网络攻击。
但网络钓鱼和鱼叉式网络钓鱼有何不同? 区分这两种网络攻击的关键要素是什么?如何防止您的组织遭受这些攻击?
在本文中,我们将深入探讨网络钓鱼与鱼叉式网络钓鱼,并探讨区分这些网络钓鱼攻击的主要特征。
我们走吧!
目录
什么是网络钓鱼?
网络钓鱼攻击是一种网络攻击,通过不同渠道和媒介(例如短信(网络钓鱼)、电子邮件(电子邮件网络钓鱼)或电话(网络钓鱼))向随机个人发送电子邮件来传播诈骗。
攻击者通过批量发送钓鱼邮件来获取敏感的用户信息和业务详细信息,希望在数千次钓鱼尝试中至少有一次或几次能够成功。
现代网络钓鱼攻击者广泛而巧妙地设计这些电子邮件和消息,使它们看起来来自企业或银行等权威来源的合法性。 黑客随机向用户发送这些电子邮件,欺骗和操纵他们点击电子邮件中的恶意链接或文档,或执行触发进一步攻击的特定操作。
在网络钓鱼攻击中,攻击者大多使用紧急语气,引起收件人的恐惧感,并操纵他们下载受感染的文档或点击恶意链接,从而泄露他们的个人信息,例如银行详细信息或登录凭据。
因此,顾名思义,网络钓鱼是指随机且广泛的电子邮件网络攻击,它利用无辜的用户或电子邮件收件人来破坏机密数据和信息。
然而,不同的网络攻击都属于网络钓鱼的范畴,具体取决于媒介或策略。 不同的网络钓鱼攻击机制包括:
- 短信诈骗:短信诈骗也称为短信网络钓鱼,是一种通过短信或短信执行的攻击,目的是用恶意软件感染用户的手机或移动设备。
- 网络钓鱼:网络钓鱼是一种通过电话或下载的互联网协议(例如 VoIP 或互联网语音协议)执行的网络钓鱼攻击。
- 弹出式网络钓鱼:这种攻击是通过在用户屏幕上以有关设备安全的弹出窗口的形式启动紧急弹出窗口或消息来执行的。
- 传真网络钓鱼:这种网络钓鱼攻击涉及攻击者向用户发送网络钓鱼电子邮件,声称他们已收到电子邮件附件中的传真,通常会引导用户访问虚假或欺骗的网站,要求他们输入登录凭据。
- 电汇网络钓鱼:这种攻击包括通过银行转账进行欺诈活动。
因此,如果这些是不同类型的网络钓鱼攻击,那么我们还需要了解什么是鱼叉式网络钓鱼以及它与上述攻击有何不同。
什么是鱼叉式网络钓鱼?
鱼叉式网络钓鱼是一种更高级、更复杂的网络钓鱼攻击形式,它针对特定或有针对性的个人、组织或受害者,而不是针对大量个人的网络钓鱼攻击。
通常,鱼叉式网络钓鱼攻击不是针对一群人,而是主要使用社会工程策略(例如欺骗电子邮件)针对特定企业或组织。
在鱼叉式网络钓鱼中,攻击者经常冒充组织的员工、同事或业务熟人来泄露组织的机密信息。 在这里,目标可能不仅仅是窃取个人的个人信息,而是侵入并进入公司服务器以执行有针对性的恶意活动。
网络犯罪分子经常使用社会工程技术(例如欺骗电子邮件),通过受害者的社交媒体资料收集个人详细信息(例如姓名和公司),向受害者发送高度个性化的电子邮件,从而使欺骗电子邮件看起来更加真实、合法和可信。
这有助于网络犯罪分子在受害者内部建立信任,增加电子邮件收件人执行所需操作的机会。 除了电子邮件欺骗之外,攻击者还可能利用动态 URL 和偷渡式下载来破坏公司的安全措施并实施鱼叉式网络钓鱼攻击。
网络犯罪分子在进行鱼叉式网络钓鱼时通常采用两种类型的攻击:
- 捕鲸:这种鱼叉式网络钓鱼攻击主要针对有权访问公司机密信息的高级管理人员。 以此类个人为目标,攻击者能够访问敏感数据、发起资金转移或进行数据泄露。
- CEO欺诈:鲸鱼攻击针对高级员工,而CEO欺诈网络钓鱼攻击主要针对较低级别或初级员工,通过冒充高层或高级管理人员,例如公司的CEO,冒充高层权威; 攻击者可以轻松说服或迫使初级员工采取未经授权的操作。 此攻击也称为商业电子邮件泄露 (BEC) 攻击。
现在我们了解了网络钓鱼和鱼叉式网络钓鱼背后的基本定义和思想,让我们更详细地了解这两种攻击的关键区别因素有何不同。
网络钓鱼与鱼叉式网络钓鱼:快速浏览
因素网络钓鱼鱼叉式网络钓鱼攻击方式大规模攻击,针对更广泛且随机的个人群体。通过社会工程策略攻击特定组织或个人。个性化程度频繁发生且耗时较少。 高度个性化,因为攻击者对其目标受害者进行了深入研究,包括姓名、组织、工作简介等。紧急程度采用令人信服和紧急的语言,使受害者立即采取行动,无需再三思。包含最低限度甚至没有紧急因素,例如它的重点是在让受害者执行所需的操作之前首先获得受害者的信任。 主要目标危害和访问受害者的敏感数据,例如登录凭据。虽然鱼叉式网络钓鱼也可能尝试访问信用卡详细信息或登录凭据等数据,但最终目标可能更高,例如提取公司的商业机密等。银行发送的频率请求密码更新的通用电子邮件。发生频率较低,因为它需要大量时间、精力和研究来执行。 努力程度低,因为消息非常通用和模板化。高,因为消息经过精心起草,增强了个性化。消息内容的语气通用且正式(有时受害者不熟悉)。 熟悉且个性化,通常在问候语中包含受害者的姓名。示例银行发送通用电子邮件,要求更新密码。高级或高级机关员工请求为项目进行电汇。 预防措施电子邮件过滤和基本网络安全培训和意识。 先进的防火墙、电子邮件过滤以及通过网络钓鱼模拟保持一致的网络安全意识。
网络钓鱼与鱼叉式网络钓鱼:功能解释
虽然网络钓鱼和鱼叉式网络钓鱼可能具有相似的特征,但它们在主要目标、攻击策略或方法、防御措施以及其他因素方面彼此不同。
让我们一一看看其中的每一项。
#1. 攻击向量
标准网络钓鱼攻击通过社会工程攻击(如群发电子邮件、恶意网站或短信)撒下更广泛的网络。 因此,他们经常尝试通过多种攻击媒介或策略来针对广泛的个人群体,试图接触大量潜在的受害者。
另一方面,鱼叉式网络钓鱼攻击更具针对性、具体性和个性化,针对特定组织或个人群体。 虽然鱼叉式网络钓鱼通常使用欺骗性电子邮件作为攻击媒介,但它也可能利用社交媒体、电话或面对面互动来针对特定个人。
#2. 欺骗手段
网络钓鱼攻击使用并批量发送通用且写得不好的电子邮件或消息,冒充合法组织或服务。 他们采用恐吓策略或在消息中制造紧迫感,诱骗受害者放弃登录凭据或银行帐户详细信息等敏感数据。
因此,攻击者经常使用通用电子邮件模板来欺骗用户,并使用恐惧策略,依靠恶意链接、虚假网站和恶意软件诱导附件,使受害者执行所需的操作以确保设备或帐户安全。
网络钓鱼依赖于通用的欺骗策略,而鱼叉式网络钓鱼则采用令人信服且高度个性化的策略,通过对目标受害者进行深入研究来起草个性化且可信的消息。
它们包括有关受害者的具体详细信息,例如姓名、公司、职位等,模仿合法商业电子邮件的风格和语气,使它们看起来更合法,并将其与一般的网络钓鱼电子邮件区分开来。
#3。 瞄准
攻击者使用通用电子邮件在网络钓鱼攻击中同时针对多个人,因此机会主义的焦点范围更广。 因此,网络钓鱼攻击会批量发送电子邮件,而不是针对特定的人员或组织,希望至少有百分之几的受害者会落入他们的欺骗策略。
相反,鱼叉式网络钓鱼利用的是有针对性的社会工程,而不仅仅是运气。 攻击者非常清楚、专注且精确地了解他们的目标受害者,并通过鸟瞰图向选定的个人发送个性化电子邮件。
他们选择或关注高价值的高管或高级员工,通过妥协来获取组织敏感业务数据的访问权限。 他们针对的高管级别越高,危害他们的潜在影响就越大。
因此,在鱼叉式网络钓鱼攻击中,目标受害者可以被视为达到目的的一种手段,即损害目标组织本身。
#4。 目标
网络钓鱼攻击的主要目的是通过针对更广泛的个人网络来收集大量机密和敏感信息。 这些信息可能包括信用卡号、登录凭据、银行帐户密码或来自尽可能多的目标人群的其他个人数据。
另一方面,鱼叉式网络钓鱼攻击的目标更加集中,并且可能差异很大,具体取决于攻击者希望如何危害特定企业或组织的最终目标。
鱼叉式网络钓鱼的目标可能包括访问特定的企业帐户、窃取机密信息、窃取专有资产或数据、在组织内发起内部网络攻击或进行有针对性的企业间谍活动。
#5。 检测挑战
组织可以通过域黑名单、电子邮件过滤和防火墙以及防病毒软件来检测网络钓鱼攻击。
然而,随着不断发展的复杂社会工程攻击操纵人类智力和策略,例如冒充权威个人、在虚假网站中使用 HTTPS、URL 混淆、域欺骗等,检测一些网络钓鱼电子邮件可能会变得具有挑战性。
同时,与网络钓鱼攻击相比,检测鱼叉式网络钓鱼攻击可能会变得更具挑战性,因为它们是以更加定制的方式设计的。 因此,防火墙等传统安全措施通常无法检测到它们。
因此,检测鱼叉式网络钓鱼在很大程度上依赖于用户教育、意识以及敏锐的眼睛或发现电子邮件中微妙的欺骗性迹象的能力。
#6。 预防措施
员工和组织可以通过使用防火墙、防病毒软件、电子邮件和网页过滤、定期更新密码、安装安全补丁等来防止网络钓鱼攻击。
传播网络安全意识并进行员工培训以提高员工对轻松识别网络钓鱼企图的警惕性也至关重要。
鱼叉式网络钓鱼预防涉及多层方法,需要结合强大的电子邮件安全解决方案和用户教育。 这些措施包括采用严格的访问控制、双因素身份验证 (2FA)、员工培训和意识、识别可疑电子邮件模式的强大电子邮件安全解决方案以及威胁情报。
#7. 现实生活中的例子
冒充 PayPal 等知名组织和银行或社交媒体资料的虚假和恶意电子邮件是网络钓鱼攻击的常见示例。
- 频谱健康系统健康组织报告了 2020 年 9 月发生的网络钓鱼攻击,患者和组织成员接到伪装成员工的电话,以提取他们的个人数据,包括会员 ID 和与其帐户相关的其他详细信息。 攻击者利用威胁和奉承来迫使受害者交出所需的数据、个人设备的访问权限或金钱。
- 网络钓鱼攻击的另一个现实例子是 Tripwire 报告了一次短信攻击 2020 年 9 月。攻击者伪装成美国邮局 (USPS) 向受害者发送短信。 该消息要求受害者点击一个链接来查看有关即将到来的 USPS 投递的重要详细信息,这会将他们引导至虚假网站以窃取他们的 Google 帐户凭据。
同样,这里有两个现实生活中的鱼叉式网络钓鱼活动示例。
- 现实生活中最著名的鱼叉式网络钓鱼攻击事件之一是 Google 和 Facebook 被诱骗付款 1.22 亿美元 2013 年至 2015 年间,由于 BEC 鱼叉式网络钓鱼攻击活动的持续扩大。 攻击者冒充两家公司的共同供应商 Quanta 发送带有虚假发票的电子邮件,并由 Google 和 Facebook 支付费用。 然而,这些公司后来可以从被盗金额中追回 4,970 万美元。
- 另一个鱼叉式网络钓鱼攻击的例子是法国领先的电影集团 Pathe 失去了 CEO 欺诈导致 1,920 万欧元,当时攻击者冒充首席执行官马克·拉康(Marc Lacan)发送了几封电子邮件,要求荷兰办事处将四个牧场的金额转移到迪拜的Towering Stars General Trading LLC。
#8。 成功率
虽然网络钓鱼攻击的成功率差异很大,但由于其通用性和针对性较差,其成功率相对低于鱼叉式网络钓鱼攻击。
此外,网络钓鱼攻击的成功率主要取决于消息的质量和欺骗策略、受害者的网络安全意识以及检测欺骗消息的能力。
另一方面,鱼叉式网络钓鱼攻击因其令人信服和个性化的性质而具有更高的成功率。 电子邮件收件人更有可能信任欺骗性电子邮件并陷入鱼叉式网络钓鱼尝试,因为它们看起来更可信并且包含相关和特定的信息。
保护自己免受网络钓鱼和鱼叉式网络钓鱼的方法
网络钓鱼和鱼叉式网络钓鱼攻击的危险和潜在影响更加严重、真实且高度复杂,给组织造成了数百万美元的损失。
因此,采取关键的预防措施来阻止或至少限制这些网络钓鱼攻击的风险至关重要。 您可以通过以下几种方法来保护自己和您的组织免受复杂的网络钓鱼和鱼叉式网络钓鱼攻击的影响。
- 通过数据加密对您的计算机和移动设备上的机密数据和信息进行加密,确保攻击者在没有正确密码的情况下无法访问这些数据。
- 虚假网络钓鱼电子邮件是攻击者窃取登录凭据的主要手段。 因此,请通过配置 SPF、DMARC 和 DKIM 等方法来验证您的电子邮件地址。
- 使用多重身份验证 (MFA) 来保护您的机密企业帐户访问,即使您的登录凭据或密码遭到泄露也是如此。 MFA 使攻击者更难侵入您的帐户。
- 通过安装最新的安全补丁、恶意软件防护以及防病毒和反垃圾邮件软件,保持所有内部软件、应用程序、操作系统和网络工具的更新和安全。
- 教育您的员工并传播有关网络钓鱼攻击的负面影响和后果、检测机制以及如何预防这些攻击的网络安全意识,并促进遵循最佳实践来限制其风险。
- 定期开展网络安全培训计划和网络钓鱼模拟,让员工了解最新的网络安全趋势和威胁,并测试他们识别和报告欺诈和恶意电子邮件的能力。
因此,创建以网络安全为中心的组织文化并结合最佳程序和实践可以显着帮助减少网络钓鱼和鱼叉式网络钓鱼攻击的潜在影响。
最后的话
网络钓鱼和鱼叉式网络钓鱼攻击活动都是当今数字世界不可避免的残酷现实。 如今,网络犯罪分子采用复杂的策略来危害个人和组织,导致巨大的财务和声誉损失。
虽然这两种攻击都会损害组织的信誉,但可以通过掌握最新的网络安全趋势并结合最佳安全实践来预防它们,而这首先要了解和研究攻击本身。
本文帮助您了解网络钓鱼和鱼叉式网络钓鱼之间的区别,以及它们在主要目标、目标、影响、成功率、策略、攻击媒介和预防方法方面的差异。
因此,请遵循上述最佳安全实践,以防止您自己和您的公司成为恶意网络钓鱼和鱼叉式网络钓鱼活动的牺牲品。
接下来,查看电子邮件安全解决方案,以保护您免受垃圾邮件、欺骗和网络钓鱼攻击。
