菜单
2023 年了解网络钓鱼的终极指南
那么,什么是 钓鱼?
网络钓鱼是一种社会工程形式,可以诱骗人们泄露他们的密码或有价值的东西 信息. 网络钓鱼攻击可以采用电子邮件、短信和电话的形式。
通常,这些攻击伪装成人们很容易识别的流行服务和公司。
当用户单击电子邮件正文中的网络钓鱼链接时,他们将被发送到他们信任的网站的相似版本。 在网络钓鱼诈骗中,此时要求他们提供登录凭据。 一旦他们在假网站上输入信息,攻击者就拥有了访问其真实帐户所需的信息。
网络钓鱼攻击可能导致个人信息、财务信息或健康信息被盗。 一旦攻击者获得一个帐户的访问权限,他们要么出售对该帐户的访问权限,要么使用该信息来入侵受害者的其他帐户。
一旦帐户被出售,知道如何从该帐户中获利的人将从暗网购买帐户凭据,并利用被盗数据。
以下是帮助您了解网络钓鱼攻击步骤的可视化:
网络钓鱼攻击有不同的形式。 网络钓鱼可以通过电话、短信、电子邮件或社交媒体消息进行。
通用网络钓鱼电子邮件是最常见的网络钓鱼攻击类型。 像这样的攻击很常见,因为它们花费的精力最少。
黑客获取与 Paypal 或社交媒体帐户关联的电子邮件地址列表,并发送 向潜在受害者发送大量电子邮件.
当受害者点击电子邮件中的链接时,通常会将他们带到一个流行网站的假冒版本,并要求他们使用自己的帐户信息登录。 一旦他们提交了他们的账户信息,黑客就拥有了访问他们账户所需的信息。
从某种意义上说,这种网络钓鱼就像撒网捕鱼一样。 而其他形式的网络钓鱼则更有针对性。
鱼叉式网络钓鱼是什么时候 攻击者针对特定个人 而不是向一群人发送通用电子邮件。
鱼叉式网络钓鱼攻击试图专门针对目标并将自己伪装成受害者可能认识的人。
如果您在 Internet 上有个人身份信息,这些攻击对于诈骗者来说更容易。 攻击者能够研究您和您的网络以制作相关且令人信服的消息。
由于高度个性化,与常规网络钓鱼攻击相比,鱼叉式网络钓鱼攻击更难识别。
它们也不太常见,因为犯罪分子需要更多时间才能成功将其拉下。
问题:钓鱼邮件的成功率是多少?
答案:鱼叉式钓鱼电子邮件的平均电子邮件打开率为 70% 和 50% 的收件人单击电子邮件中的链接。
与鱼叉式网络钓鱼攻击相比,捕鲸攻击更具针对性。
捕鲸攻击针对组织中的个人,例如公司的首席执行官或首席财务官。
捕鲸攻击最常见的目标之一是操纵受害者将大笔资金汇给攻击者。
与以电子邮件形式进行攻击的常规网络钓鱼类似,捕鲸可能使用公司徽标和类似地址来伪装自己。
在某些情况下,攻击者会冒充 CEO 并使用该角色来说服另一名员工透露财务数据或将资金转入攻击者账户。
由于员工不太可能拒绝来自上级人员的请求,因此这些攻击更加狡猾。
攻击者通常会花费更多时间来设计捕鲸攻击,因为他们往往会获得更好的回报。
“捕鲸”一词指的是目标拥有更多财力(CEO)的事实。
Angler 网络钓鱼是一种相对 新型网络钓鱼攻击,存在于社交媒体上。
他们不遵循网络钓鱼攻击的传统电子邮件格式。
相反,他们将自己伪装成公司的客户服务代表,并诱使人们通过直接消息向他们发送信息。
一个常见的骗局是将人们带到一个虚假的客户支持网站,该网站将下载恶意软件或换句话说 勒索 到受害者的设备上。
钓鱼攻击是指诈骗者给您打电话 试图从您那里收集个人信息。
诈骗者通常伪装成信誉良好的企业或组织,例如 Microsoft、IRS,甚至您的银行。
他们使用恐吓策略让您泄露重要的帐户数据。
这使他们可以直接或间接访问您的重要帐户。
钓鱼攻击很棘手。
攻击者可以轻松冒充您信任的人。
观看 Hailbytes 创始人大卫·麦克海尔 (David McHale) 谈论机器人电话将如何随着未来技术的发展而消失。
大多数网络钓鱼攻击都是通过电子邮件发生的,但有一些方法可以识别它们的合法性。
当你打开一封电子邮件 检查它是否来自公共电子邮件域 (即@gmail.com)。
如果它来自公共电子邮件域,则很可能是网络钓鱼攻击,因为组织不使用公共域。
相反,他们的域对于他们的业务来说是独一无二的(即 Google 的电子邮件域是@google.com)。
但是,存在使用唯一域的更棘手的网络钓鱼攻击。
快速搜索公司并检查其合法性很有用。
网络钓鱼攻击总是试图通过友好的问候或同情来与您交朋友。
例如,不久前我在垃圾邮件中发现了一封带有“亲爱的朋友”问候语的钓鱼邮件。
我已经知道这是一封网络钓鱼电子邮件,因为它在主题行中写道:“关于您的资金的好消息 21 /06/2020”。
如果您从未与该联系人互动,那么看到这些类型的问候应该是即时危险信号。
网络钓鱼电子邮件的内容非常重要,您会看到一些与众不同的特征。
如果内容听起来很荒谬,那么很可能是骗局。
例如,如果主题行说“您赢得了 1000000 美元的彩票”并且您不记得参与过,那么这就是一个危险信号。
当内容产生一种紧迫感,如“这取决于你”,并导致点击可疑链接时,这很可能是骗局。
网络钓鱼电子邮件总是附有可疑链接或文件。
检查链接是否有病毒的一个好方法是使用 VirusTotal,这是一个检查文件或链接是否存在恶意软件的网站。
钓鱼邮件示例:
在示例中,Google 指出该电子邮件可能存在潜在危险。
它认识到其内容与其他类似的网络钓鱼电子邮件相匹配。
如果电子邮件符合上述大部分条件,则建议将其报告给 reportphishing@apwg.org 或 phishing-report@us-cert.gov 以便阻止。
如果您使用的是 Gmail,则可以选择将电子邮件报告为网络钓鱼。
尽管网络钓鱼攻击针对的是随机用户,但它们通常以公司员工为目标。
然而,攻击者并不总是追求公司的资金,而是其数据。
就业务而言,数据远比金钱更有价值,它可以严重影响公司。
攻击者可以使用泄露的数据通过影响消费者信任和玷污公司名称来影响公众。
但这并不是由此产生的唯一后果。
其他后果包括对投资者信任的负面影响、扰乱业务以及根据《通用数据保护条例》(GDPR) 引发监管罚款。
建议培训您的员工处理此问题,以减少成功的网络钓鱼攻击。
培训员工的方法通常是向他们展示网络钓鱼电子邮件的示例以及发现它们的方法。
向员工展示网络钓鱼的另一种好方法是通过模拟。
网络钓鱼模拟基本上是虚假攻击,旨在帮助员工直接识别网络钓鱼而不会产生任何负面影响。
我们现在将分享成功运行网络钓鱼活动所需采取的步骤。
根据 WIPRO 的 2020 年网络安全状况报告,网络钓鱼仍然是头号安全威胁。
收集数据和教育员工的最佳方式之一是开展内部网络钓鱼活动。
使用网络钓鱼平台创建网络钓鱼电子邮件可能很容易,但它比点击发送要复杂得多。
我们将讨论如何通过内部通信处理网络钓鱼测试。
然后,我们将讨论您如何分析和使用您收集的数据。
网络钓鱼活动并不是要惩罚落入骗局的人。 网络钓鱼模拟是关于教员工如何回复网络钓鱼电子邮件。 您希望确保在公司中进行网络钓鱼培训时保持透明。 优先将您的网络钓鱼活动通知公司领导并描述该活动的目标。
在您发送第一个基线网络钓鱼电子邮件测试后,您可以在全公司范围内向所有员工发布公告。
内部沟通的一个重要方面是保持信息的一致性。 如果您自己进行网络钓鱼测试,那么最好为您的培训材料制作一个品牌。
为你的项目起一个名字将有助于员工在他们的收件箱中认出你的教育内容。
如果您使用的是托管网络钓鱼测试服务,那么他们可能会涵盖这一点。 应提前制作教育内容,以便您可以在活动结束后立即跟进。
在基线测试后,向您的员工提供有关内部网络钓鱼电子邮件协议的说明和信息。
您想让您的同事有机会正确响应培训。
查看正确发现和报告电子邮件的人数是从网络钓鱼测试中获得的重要信息。
您的竞选活动的首要任务是什么?
订婚。
您可以尝试根据成功和失败的次数得出结果,但这些数字不一定能帮助您实现目标。
如果您运行网络钓鱼测试模拟并且没有人点击链接,这是否意味着您的测试成功了?
最简洁的答案是不”。
拥有 100% 的成功率并不意味着成功。
这可能意味着您的网络钓鱼测试太容易被发现了。
另一方面,如果您的网络钓鱼测试失败率极高,则可能意味着完全不同的情况。
这可能意味着您的员工还无法发现网络钓鱼攻击。
当您的活动获得高点击率时,您很可能需要降低网络钓鱼电子邮件的难度。
花更多时间培训当前水平的人员。
您最终希望降低网络钓鱼链接的点击率。
您可能想知道网络钓鱼模拟的点击率是好是坏。
根据 sans.org,你的 第一次网络钓鱼模拟可能会产生 25-30% 的平均点击率.
这似乎是一个非常高的数字。
幸运的是,他们报告说 经过 9-18 个月的网络钓鱼训练,网络钓鱼测试的点击率是 低于 5%。
这些数字可以帮助您粗略估计网络钓鱼训练的预期结果。
要开始您的第一个网络钓鱼电子邮件模拟,请确保将测试工具的 IP 地址列入白名单。
这可确保员工将收到电子邮件。
在制作您的第一封模拟网络钓鱼电子邮件时,不要让它太容易或太难。
你还应该记住你的听众。
如果您的同事不是社交媒体的重度用户,那么使用虚假的 LinkedIn 密码重置网络钓鱼电子邮件可能不是一个好主意。 测试人员电子邮件必须具有足够广泛的吸引力,使公司中的每个人都有理由点击。
具有广泛吸引力的网络钓鱼电子邮件的一些示例可能是:
请记住在点击发送之前您的听众将如何接收消息的心理。
继续向您的员工发送网络钓鱼培训电子邮件。 确保随着时间的推移慢慢增加难度以提高人们的技能水平。
建议每月发送电子邮件。 如果您过于频繁地“钓鱼”您的组织,他们可能会过快地流行起来。
让您的员工措手不及是获得更真实结果的最佳方式。
如果您每次都发送相同类型的“网络钓鱼”电子邮件,您将无法教会您的员工如何应对不同的诈骗。
您可以尝试几个不同的角度,包括:
当您发送新的活动时,请始终确保您正在微调消息与您的受众的相关性。
如果您发送与感兴趣的内容无关的网络钓鱼电子邮件,您可能不会从您的活动中获得太多回复。
在向您的员工发送不同的活动后,刷新一些第一次欺骗人们的旧活动,并对该活动进行新的调整。
如果您看到人们正在学习和改进,您就可以判断培训的有效性。
从那里您将能够判断他们是否需要更多关于如何发现某种类型的网络钓鱼电子邮件的教育。
有 3 个因素决定您是要创建自己的网络钓鱼培训计划还是外包该计划。
如果您是一名安全工程师或在您的公司拥有一名安全工程师,您可以使用预先存在的网络钓鱼平台轻松地创建网络钓鱼服务器来创建您的活动。
如果您没有任何安全工程师,创建您自己的网络钓鱼程序可能是不可能的。
您的组织中可能有安全工程师,但他们可能没有社交工程或网络钓鱼测试的经验。
如果您有经验丰富的人,那么他们将足够可靠来创建自己的网络钓鱼程序。
这对中小型公司来说是一个非常重要的因素。
如果您的团队规模较小,则可能不方便向您的安全团队添加另一项任务。
让另一个经验丰富的团队为您完成工作会方便得多。
您已经阅读了整个指南以了解如何培训您的员工,并且您已准备好开始通过网络钓鱼培训来保护您的组织。
现在怎么办?
如果您是一名安全工程师并想立即开始运行您的第一个网络钓鱼活动, 转到此处了解有关网络钓鱼模拟工具的更多信息,您可以使用该工具立即开始使用。
或...
如果您有兴趣了解为您运行网络钓鱼活动的托管服务, 在此处详细了解如何开始免费试用网络钓鱼培训。
冰雹
9511 皇后卫队 Ct。
劳雷尔,MD 20723
电话:(732)771,9995
邮箱:info@hailbytes.com
