网络钓鱼变得越来越聪明。作为一种社会工程攻击,攻击者使用旨在欺骗潜在受害者共享敏感信息或单击特定链接的欺诈性消息,网络钓鱼长期以来一直是互联网生活的一部分。
这个词最初是在 25 年前创造的,它使用“钓鱼”这个词的故意拼写错误来描述攻击者发送基于电子邮件的诱饵以试图从网络用户的海洋中诱骗受害者的方式。
虽然网络钓鱼攻击一直是网络安全领域的常态,但传统上它们也受到更多精通技术的用户的嘲笑。无论是语法薄弱还是可笑的错误拼写(有时是为了绕过垃圾邮件过滤器),网络钓鱼邮件对那些知道要注意什么的人并没有构成太大的威胁。
然而,情况正在发生变化。今天的网络钓鱼攻击比 1996 年、2006 年甚至 2016 年的那些攻击要复杂得多。特别是当攻击者(在某些情况下)从针对个人转向针对企业和组织时,社会工程攻击必须适应最轻微找到目标的机会。
坏消息?在许多情况下,他们确实做到了这一点。今天,很少有网络安全研究人员或专业人士会宣称自己完全没有网络钓鱼邮件的风险。有了足够的关注和个性化,任何网络钓鱼攻击者都有可能突破用户的防御。
移动,钓鱼!遇到鱼叉式网络钓鱼
最近有报道称,一个不知名团体发起的为期一年的网络钓鱼活动针对全球天然气和石油、能源、媒体、IT 和电子行业的企业。发送给这些企业的传入电子邮件使用了欺骗和域名仿冒等技术,看起来像是从真正的老牌公司发送的。
注册近似域名是指注册或使用的域名,这样,乍一看,它似乎来自一个比它做其他来源-例如,护目镜,而不是谷歌或Facebock,而不是Facebook的。
他们还通过精心制作特定文本,按名称引用公司高管并包括真实的公司地址和公司徽标,从而避开了“传统”网络钓鱼消息的散布式泛化方法。
最重要的是,它们包含了特定行业的行话,并引用了被冒充的公司当时正在实际从事的真实项目,以试图使信息看起来真实。它们附带的附件看似无害的 PDF 文件,但实际上是能够收集浏览数据、捕获按键甚至窃取财务信息的恶意软件应用程序。
这些针对特定个人或企业的消息称为“鱼叉式网络钓鱼”。与旨在捕获众所周知的咬人者的常规网络钓鱼消息不同,鱼叉式网络钓鱼是高度定制的以针对特定目标。这比普通的网络钓鱼消息需要更多的努力,因为它可以一次发送给成千上万的用户。
然而,如果潜在的奖励足够,黑客会很乐意花时间来实现他们的欺诈。
防御鱼叉式网络钓鱼社会工程攻击很困难。它们像攻击一样被高度定制化,以至于很难被发现。此外,您只需要一个组织内的一名员工犯错,这对相关企业或实体来说可能会付出极高的代价。
结果可能是任何事情,从商业敏感数据的泄露到间谍或故意破坏行为。简而言之,网络钓鱼可以通过暴露进入网络和内部系统的途径,为几乎所有其他类型的网络攻击打开大门。
防止网络钓鱼和其他社会工程攻击
与任何社会工程攻击一样,教育是关键。让员工了解风险以及攻击可能通过的可能载体有助于捕获一定数量的潜在攻击。
提出一个强大的网络安全策略也是如此,该策略将被组织中的每个人理解并遵循。首先是执行计算资产清单以及如何最好地保护它们、确定风险的优先级以及构建团队和策略来应对可能的攻击。
但是,为了保证安全,您可能需要考虑投资最新的、最先进的网络安全工具。这包括新的机器学习辅助电子邮件保护系统,能够发现网络钓鱼企图、数据丢失防护 ( DLP )、高级机器人保护、API 安全、运行时应用程序自我保护工具等。
网络钓鱼尝试一直在变得越来越聪明——即使是最聪明的人也容易犯人为错误。但是,通过部署尖端技术来帮助抵御网络钓鱼和其他网络安全威胁,组织可以尽其所能减轻攻击企图。而且,由于近年来的技术进步,“他们能做到的最好”已经相当不错了。
(来源:HackRead)