网络钓鱼是当前社会工程攻击中最常见且普遍存在的一种形式。
作为一种专门针对并利用人类弱点的网络攻击方式,网络钓鱼已经成功地对许多中小型企业造成了损害。调查数据显示,超过 80% 的组织 在 2020 年至少遭受过一次成功的网络钓鱼攻击。
此外,一份 网络钓鱼活动趋势报告 研究指出,在 2019 年至 2022 年期间,网络钓鱼攻击事件显著增加了 150%,仅 2022 年就达到了创纪录的 470 万次。
虽然网络钓鱼是一个广泛的网络攻击类别,但它还包括其他类型的攻击,例如短信钓鱼、电子邮件钓鱼、鱼叉式网络钓鱼和克隆钓鱼等。
其中,鱼叉式网络钓鱼是最常见且复杂的攻击方式之一,据统计,超过 91% 的网络攻击 都始于这种形式。
那么,网络钓鱼和鱼叉式网络钓鱼之间究竟有什么区别呢?区分这两种攻击的关键因素是什么?又该如何保护组织免受此类攻击的侵害?
在本文中,我们将深入探讨网络钓鱼和鱼叉式网络钓鱼,并分析它们之间的主要区别。
让我们开始吧!
什么是网络钓鱼?
网络钓鱼是一种网络攻击,攻击者通过各种渠道和媒介,如短信(短信钓鱼)、电子邮件(电子邮件钓鱼)或电话(语音钓鱼),向随机的个人发送虚假信息。
攻击者通过大量发送钓鱼邮件来试图获取敏感的用户信息和商业数据。他们希望在成千上万次的尝试中至少能有几次成功。
现在的网络钓鱼攻击者设计这些电子邮件和消息的方式越来越精巧,使其看起来像是来自知名企业或银行等权威机构。黑客随机地向用户发送这些邮件,欺骗并诱导他们点击邮件中的恶意链接或文档,或者执行特定的操作,从而触发进一步的攻击。
在网络钓鱼攻击中,攻击者通常会使用紧急的语气,制造接收者的恐惧感,诱导他们下载受感染的文件或点击恶意链接,从而泄露个人信息,如银行账户或登录凭证。
因此,正如其名称所示,网络钓鱼是一种随机且广泛的网络攻击,它利用不知情的用户或电子邮件接收者来窃取机密数据和信息。
然而,根据攻击媒介或策略的不同,许多不同的网络攻击都属于网络钓鱼的范畴,以下是一些常见的网络钓鱼攻击方式:
- 短信钓鱼:也称为短信诈骗,这是一种通过短信或文本消息进行的攻击,目的是用恶意软件感染用户的手机或其他移动设备。
- 语音钓鱼:这是一种通过电话或互联网协议(如 VoIP)进行的网络钓鱼攻击。
- 弹出式钓鱼:这种攻击是通过在用户屏幕上弹出有关设备安全的紧急窗口或消息来实现的。
- 传真钓鱼:在这种攻击中,攻击者会向用户发送伪装成传真的钓鱼邮件,并要求用户输入登录凭证,通常会引导用户访问虚假或欺骗性网站。
- 电汇钓鱼:这是一种通过银行转账进行欺诈的攻击。
既然我们了解了不同类型的网络钓鱼攻击,接下来就需要了解什么是鱼叉式网络钓鱼,以及它与上述攻击的区别。
什么是鱼叉式网络钓鱼?
鱼叉式网络钓鱼是一种更高级、更复杂的网络钓鱼攻击形式,它针对特定的个人、组织或受害者,而不是像普通网络钓鱼那样针对大量人群。
通常,鱼叉式网络钓鱼攻击主要使用社会工程策略(如欺骗性电子邮件)来针对特定的企业或组织,而不是针对一群人。
在鱼叉式网络钓鱼中,攻击者经常伪装成组织员工、同事或商业伙伴,以窃取组织的机密信息。其目标不仅是窃取个人的个人信息,而是侵入公司服务器,从而执行有针对性的恶意活动。
网络犯罪分子经常通过受害者的社交媒体资料来收集个人信息(如姓名和公司),从而向受害者发送高度个性化的邮件,使这些欺骗性邮件看起来更加真实、合法和可信。他们利用社会工程技术(例如欺骗性电子邮件)来达到此目的。
这有助于网络犯罪分子在受害者内部建立信任,增加邮件接收者执行所需操作的几率。除了电子邮件欺骗,攻击者还可能利用动态 URL 和隐蔽下载来绕过公司的安全措施,从而实施鱼叉式网络钓鱼攻击。
在实施鱼叉式网络钓鱼时,网络犯罪分子通常采用两种攻击类型:
- 捕鲸:这种鱼叉式网络钓鱼攻击主要针对那些有权访问公司机密信息的高级管理人员。通过以此类个人为目标,攻击者能够访问敏感数据、发起资金转移或进行数据泄露。
- CEO欺诈:捕鲸攻击针对的是高级员工,而CEO欺诈网络钓鱼攻击则主要针对较低级别或初级员工,攻击者会伪装成公司 CEO 等高级管理人员,利用高层权威来轻易说服或强迫初级员工采取未经授权的操作。这种攻击也称为商业电子邮件泄露 (BEC) 攻击。
现在我们了解了网络钓鱼和鱼叉式网络钓鱼的基本概念和原理,让我们更详细地了解这两种攻击之间的主要区别。
网络钓鱼与鱼叉式网络钓鱼:快速概览
因素 | 网络钓鱼 | 鱼叉式网络钓鱼 |
攻击方式 | 大规模攻击,针对更广泛的随机人群。 | 通过社会工程策略攻击特定的组织或个人。 |
个性化程度 | 发生频率较高,耗时较少。 | 高度个性化,因为攻击者会对目标受害者进行深入研究,包括姓名、组织、工作简介等。 |
紧急程度 | 采用令人信服且紧急的语言,诱导受害者立即采取行动,不作过多思考。 | 通常不包含紧急因素,重点是首先获得受害者的信任,然后诱导其执行操作。 |
主要目标 | 获取受害者的敏感数据,如登录凭证。 | 鱼叉式网络钓鱼也可能试图获取数据,但最终目标通常是窃取公司的商业机密。 |
银行邮件 | 请求密码更新的通用邮件。 | 发生频率较低,因为需要大量的时间、精力和研究才能执行。 |
准备程度 | 低,消息通常很通用和模板化。 | 高,消息经过精心设计,以提高个性化程度。 |
语气 | 通用且正式(有时受害者不熟悉)。 | 熟悉且个性化,通常在问候语中包含受害者的姓名。 |
示例 | 银行发送要求更新密码的通用电子邮件。 | 高管要求为项目进行电汇。 |
预防措施 | 电子邮件过滤和基本的网络安全培训与意识。 | 高级防火墙、电子邮件过滤以及通过网络钓鱼模拟来保持一致的网络安全意识。 |
网络钓鱼与鱼叉式网络钓鱼:功能解释
虽然网络钓鱼和鱼叉式网络钓鱼可能具有相似的特征,但它们在主要目标、攻击策略、防御措施等多个方面存在差异。
让我们逐一分析这些区别。
#1. 攻击载体
标准的网络钓鱼攻击通过社会工程攻击(如群发电子邮件、恶意网站或短信)来撒下更广泛的网。他们通常会尝试使用多种攻击媒介或策略来针对大量的潜在受害者。
另一方面,鱼叉式网络钓鱼攻击更具有针对性、具体性和个性化,目标是特定的组织或个人。虽然鱼叉式网络钓鱼通常以欺骗性电子邮件作为攻击媒介,但也可能利用社交媒体、电话或面对面互动来针对特定个人。
#2. 欺骗手段
网络钓鱼攻击通常会大量发送通用且质量较差的邮件或消息,伪装成合法的组织或服务。他们通常会使用恐吓策略或在消息中制造紧迫感,以诱骗受害者交出敏感数据,如登录凭证或银行帐户信息。
因此,攻击者会经常使用通用的电子邮件模板来欺骗用户,并使用恐吓策略,依靠恶意链接、虚假网站和恶意软件附件来诱导受害者执行操作,以确保设备或帐户的安全。
网络钓鱼依赖于通用的欺骗策略,而鱼叉式网络钓鱼则会采用更具说服力且高度个性化的策略,通过对目标受害者进行深入研究来撰写可信的消息。
这些邮件通常包含有关受害者的详细信息,如姓名、公司、职位等,模仿真实商业邮件的风格和语气,使其看起来更加合法,从而有别于一般的网络钓鱼邮件。
#3. 目标
攻击者在网络钓鱼攻击中会使用通用电子邮件同时针对多人,因此其机会主义的重点更为广泛。他们不是针对特定的人员或组织,而是批量发送电子邮件,希望至少有一定比例的受害者会落入他们的陷阱。
相反,鱼叉式网络钓鱼利用的是有针对性的社会工程,而不是运气。攻击者会非常清楚地了解其目标,并向选定的个人发送个性化的邮件。
他们通常会选择或关注高价值的高管或高级员工,通过损害其账户来访问组织敏感的商业数据。他们所针对的级别越高,造成的潜在危害就越大。
因此,在鱼叉式网络钓鱼攻击中,目标受害者只是攻击者达到目的的一种手段,其最终目的是损害目标组织本身。
#4. 目标
网络钓鱼攻击的主要目的是通过针对更广泛的人群来收集大量的机密和敏感信息,包括信用卡号、登录凭证、银行账户密码或其他个人数据。
另一方面,鱼叉式网络钓鱼攻击的目标更加集中,并且会根据攻击者希望如何破坏特定企业或组织的目标而变化。
鱼叉式网络钓鱼的目标可能包括访问特定的企业帐户、窃取机密信息、盗取专有资产或数据、在组织内部发起网络攻击或进行有针对性的企业间谍活动。
#5. 检测挑战
组织可以通过域名黑名单、电子邮件过滤、防火墙和防病毒软件来检测网络钓鱼攻击。
然而,随着不断发展的复杂社会工程攻击手段(如伪装成权威人物、在虚假网站上使用 HTTPS、URL 混淆、域名欺骗等),检测某些网络钓鱼邮件可能会变得非常困难。
与此同时,由于鱼叉式网络钓鱼攻击是以更加定制化的方式设计的,所以与网络钓鱼攻击相比,检测它们可能更具挑战性。传统的安全措施,如防火墙,通常无法检测到它们。
因此,检测鱼叉式网络钓鱼在很大程度上依赖于用户教育、意识以及发现电子邮件中细微的欺骗性迹象的能力。
#6. 预防措施
员工和组织可以通过使用防火墙、防病毒软件、电子邮件和网页过滤、定期更新密码、安装安全补丁等来预防网络钓鱼攻击。
提高员工的网络安全意识,并进行培训,让他们能够轻松识别网络钓鱼攻击也至关重要。
鱼叉式网络钓鱼的预防涉及多层方法,需要结合强大的电子邮件安全解决方案和用户教育。这些措施包括采用严格的访问控制、双因素身份验证 (2FA)、员工培训和意识、识别可疑电子邮件模式的强大电子邮件安全解决方案,以及威胁情报。
#7. 现实生活中的例子
伪装成 PayPal 等知名组织、银行或社交媒体账户的虚假和恶意电子邮件是网络钓鱼攻击的常见示例。
- Spectrum Health 系统健康组织报告了 2020 年 9 月发生的网络钓鱼攻击,患者和组织成员接到了伪装成员工的电话,以窃取他们的个人数据,包括会员 ID 和其他与账户相关的详细信息。攻击者利用威胁和奉承来迫使受害者交出所需的数据、个人设备的访问权限或金钱。
- Tripwire 报告了一次短信钓鱼攻击 事件发生在 2020 年 9 月。攻击者伪装成美国邮政服务 (USPS) 向受害者发送短信。该消息要求受害者点击链接以查看有关即将到来的 USPS 投递的重要信息,这会将他们引导至虚假网站,以窃取他们的 Google 帐户凭证。
以下是两个现实生活中的鱼叉式网络钓鱼攻击案例:
- 一个著名的鱼叉式网络钓鱼攻击事件是,Google 和 Facebook 因为持续扩大的 BEC 鱼叉式网络钓鱼攻击活动,在 2013 年至 2015 年间被骗支付了 1.22 亿美元。攻击者伪装成两家公司的共同供应商 Quanta,发送带有虚假发票的电子邮件,并由 Google 和 Facebook 支付了这些发票。然而,这些公司后来追回了被盗金额中的 4970 万美元。
- 另一个鱼叉式网络钓鱼攻击的例子是,法国领先的电影集团 Pathe 由于 CEO 欺诈损失了 1920 万欧元,攻击者伪装成首席执行官 Marc Lacan 发送了一些电子邮件,要求荷兰办事处将四个牧场的资金转移到迪拜的 Towering Stars General Trading LLC。
#8. 成功率
虽然网络钓鱼攻击的成功率差异很大,但由于其通用性且针对性较差,其成功率通常低于鱼叉式网络钓鱼攻击。
此外,网络钓鱼攻击的成功率主要取决于消息的质量和欺骗策略、受害者的网络安全意识以及检测欺骗消息的能力。
另一方面,鱼叉式网络钓鱼攻击因其令人信服和个性化的性质而具有更高的成功率。电子邮件接收者更有可能相信欺骗性邮件并陷入鱼叉式网络钓鱼陷阱,因为它们看起来更可信,并且包含相关和具体的信息。
如何保护自己免受网络钓鱼和鱼叉式网络钓鱼的侵害
网络钓鱼和鱼叉式网络钓鱼攻击的危险和潜在影响更加严重、真实且高度复杂,给组织造成了数百万美元的损失。
因此,采取关键的预防措施来阻止或至少限制这些网络钓鱼攻击的风险至关重要。以下是一些可以帮助您保护自己和您的组织免受复杂的网络钓鱼和鱼叉式网络钓鱼攻击的方法。
- 对计算机和移动设备上的机密数据和信息进行加密,确保攻击者在没有正确密码的情况下无法访问这些数据。
- 虚假的钓鱼邮件是攻击者窃取登录凭证的主要手段。因此,请通过配置 SPF、DMARC 和 DKIM 等方法来验证您的电子邮件地址。
- 使用多因素身份验证 (MFA) 来保护机密的企业帐户访问,即使您的登录凭证或密码泄露也是如此。MFA 使攻击者更难侵入您的帐户。
- 安装最新的安全补丁、恶意软件防护以及防病毒和反垃圾邮件软件,保持所有内部软件、应用程序、操作系统和网络工具的更新和安全。
- 教育您的员工并宣传有关网络钓鱼攻击的负面影响和后果、检测机制以及如何预防这些攻击的网络安全意识,并促进遵循最佳实践以降低风险。
- 定期开展网络安全培训计划和网络钓鱼模拟,让员工了解最新的网络安全趋势和威胁,并测试他们识别和报告欺诈和恶意邮件的能力。
因此,创建以网络安全为中心的组织文化,并结合最佳程序和实践,可以显著帮助减少网络钓鱼和鱼叉式网络钓鱼攻击的潜在影响。
结语
网络钓鱼和鱼叉式网络钓鱼攻击活动是当今数字世界不可避免的残酷现实。如今,网络犯罪分子采用复杂的策略来危害个人和组织,导致巨大的财务和声誉损失。
虽然这两种攻击都会损害组织的信誉,但可以通过掌握最新的网络安全趋势并结合最佳安全实践来预防它们。而了解和研究攻击本身是第一步。
本文帮助您了解了网络钓鱼和鱼叉式网络钓鱼之间的区别,以及它们在主要目标、目标、影响、成功率、策略、攻击媒介和预防方法方面的差异。
因此,请遵循上述最佳安全实践,以防止自己和您的公司成为恶意网络钓鱼和鱼叉式网络钓鱼活动的受害者。
接下来,请查看一些电子邮件安全解决方案,以保护您免受垃圾邮件、欺骗和网络钓鱼攻击。