鱼叉式网络钓鱼定义 | 什么是鱼叉式网络钓鱼?
目录
鱼叉式网络钓鱼定义
鱼叉式网络钓鱼是一种诱骗受害者泄露机密信息的网络攻击。 任何人都可能成为鱼叉式网络钓鱼攻击的目标。 犯罪分子可能以政府雇员或私营公司为目标。 鱼叉式网络钓鱼攻击假装来自受害者的同事或朋友。 这些攻击甚至可以模仿 FexEx、Facebook 或亚马逊等知名公司的电子邮件模板。
网络钓鱼攻击的目标是让受害者单击链接或下载文件。 如果受害者单击链接并被引诱在虚假网页上输入登录信息,那么他们只是将凭据提供给了攻击者。 如果受害者下载了一个文件,那么恶意软件就会安装在计算机上,此时,受害者已经交出了该计算机上的所有活动和信息。
许多鱼叉式网络钓鱼攻击都是由政府资助的。 有时,攻击来自将信息出售给政府或公司的网络犯罪分子。 对公司或政府的成功鱼叉式网络钓鱼攻击可能会导致巨额赎金。 谷歌和 Facebook 等大公司因这些攻击而蒙受损失。 大约三年前, 英国广播公司报道 两家公司 被骗了 一个黑客每人约 100 亿美元.
鱼叉式网络钓鱼与网络钓鱼有何不同?
网络钓鱼和鱼叉式网络钓鱼虽然目的相似,但手段不同. 网络钓鱼攻击是针对一大群人的一次性尝试。 它是通过为此目的而设计的现成应用程序完成的。 执行这些攻击不需要太多技巧。 常规网络钓鱼攻击的想法是大规模窃取凭据。 这样做的犯罪分子的目标通常是在暗网上转售凭据或耗尽人们的银行账户。
鱼叉式网络钓鱼攻击要复杂得多。 它们通常针对特定的员工、公司或组织。 与一般的网络钓鱼电子邮件不同,鱼叉式网络钓鱼电子邮件看起来像是来自目标认可的合法联系人. 这可以是项目经理或团队负责人。 目标 已计划 并进行了深入研究。 鱼叉式网络钓鱼攻击通常会利用公开信息来模仿目标角色。
例如,攻击者可能会研究受害者并发现他们有一个孩子。 然后他们可能会使用该信息来制定如何使用该信息对付他们的策略。 例如,他们可能会发出虚假的公司公告,询问他们是否愿意为他们的孩子提供免费日托服务。 这只是鱼叉式网络钓鱼攻击如何使用公开数据(通常通过社交媒体)对您进行攻击的一个示例。
获得受害者的凭证后,攻击者可以窃取更多的个人或财务信息. 这包括银行信息、社会安全号码和信用卡号码。 鱼叉式网络钓鱼需要对受害者进行更多研究才能突破防御 顺利.鱼叉式网络钓鱼攻击通常是对公司进行更大规模攻击的开始。
鱼叉式网络钓鱼攻击如何运作?
在网络犯罪分子进行鱼叉式网络钓鱼攻击之前,他们会研究他们的目标。 在此过程中,他们会找到目标的电子邮件、职位和同事。 其中一些信息位于目标工作的公司的网站上。 他们通过目标的 LinkedIn、Twitter 或 Facebook 找到更多信息。
收集信息后,网络罪犯开始制作他们的信息。 他们创建的消息看起来像是来自目标熟悉的联系人,例如团队负责人或经理。 网络罪犯可以通过多种方式向目标发送消息。 电子邮件之所以被使用,是因为它们在公司环境中经常使用。
由于使用的电子邮件地址,鱼叉式网络钓鱼攻击应该很容易识别。 攻击者不能拥有与攻击者冒充的人拥有的地址相同的地址。 为了愚弄目标,攻击者伪造了目标联系人之一的电子邮件地址。 这是通过使电子邮件地址看起来尽可能与原始地址相似来完成的。 他们可以用“0”代替“o”,用大写的“I”代替小写的“l”,等等。 这一点,再加上电子邮件内容看起来合法,使得很难识别鱼叉式网络钓鱼攻击。
发送的电子邮件通常包含文件附件或指向目标可以下载或单击的外部网站的链接。 该网站或文件附件可能包含恶意软件。 一旦下载到目标设备上,恶意软件就会执行。 恶意软件与网络罪犯的设备建立通信。 一旦开始,它就可以记录击键、收集数据并执行程序员的命令。
谁需要担心鱼叉式网络钓鱼攻击?
每个人都需要警惕鱼叉式网络钓鱼攻击。 某些类别的人更有可能 被攻击 相对于其它的。 在医疗、金融、教育或政府等行业担任高级职位的人面临更大的风险. 对这些行业中的任何一个成功的鱼叉式网络钓鱼攻击都可能导致:
- 数据泄露
- 大笔赎金
- 国家安全威胁
- 声誉损失
- 法律后果
您无法避免收到网络钓鱼电子邮件。 即使您使用电子邮件过滤器,一些鱼叉式网络钓鱼攻击也会通过。
处理此问题的最佳方法是培训员工如何发现欺骗性电子邮件。
如何防止鱼叉式网络钓鱼攻击?
您可以采取几个步骤来防止鱼叉式网络钓鱼攻击。 以下是针对鱼叉式网络钓鱼攻击的预防和保护措施列表:
- 避免在社交媒体上发布过多有关您自己的信息。 这是网络犯罪分子为获取有关您的信息而进行的第一站访问。
- 确保您使用的托管服务具有电子邮件安全和反垃圾邮件保护。 这是抵御网络罪犯的第一道防线。
- 在确定电子邮件的来源之前,请勿单击链接或文件附件。
- 警惕未经请求的电子邮件或带有紧急请求的电子邮件。 尝试通过其他通信方式验证此类请求。 给可疑人员打电话、发短信或面对面交谈。
组织需要对员工进行鱼叉式网络钓鱼策略的教育。 这有助于员工在遇到鱼叉式网络钓鱼电子邮件时知道该怎么做。 这是教育可以 取得成就 使用鱼叉式网络钓鱼模拟。
您可以教您的员工如何避免鱼叉式网络钓鱼攻击的一种方法是通过网络钓鱼模拟.
鱼叉式网络钓鱼模拟是让员工快速掌握网络犯罪分子鱼叉式网络钓鱼策略的绝佳工具。 它是一系列交互式练习,旨在教用户如何识别鱼叉式网络钓鱼电子邮件以避免或报告它们。 接触过鱼叉式网络钓鱼模拟的员工更有可能发现鱼叉式网络钓鱼攻击并做出适当的反应。
鱼叉式网络钓鱼模拟如何工作?
- 通知员工他们将收到一封“假的”网络钓鱼电子邮件。
- 向他们发送一篇描述如何预先发现网络钓鱼电子邮件的文章,以确保他们在测试之前得到通知。
- 在您宣布网络钓鱼培训的月份的随机时间发送“假”网络钓鱼电子邮件。
- 衡量有多少员工因网络钓鱼尝试而陷入困境的统计数据与没有或谁报告了网络钓鱼企图的人数。
- 通过发送有关网络钓鱼意识的提示和每月对您的同事进行一次测试来继续培训。
为什么我要模拟网络钓鱼攻击?
如果您的组织遭到鱼叉式网络钓鱼攻击,成功攻击的统计数据会让您清醒过来。
鱼叉式网络钓鱼攻击的平均成功率为网络钓鱼电子邮件的 50% 点击率。
这是贵公司不想要的责任类型。
当您在工作场所提高对网络钓鱼的认识时,您不仅仅是在保护员工或公司免受信用卡欺诈或身份盗用。
网络钓鱼模拟可以帮助您防止数据泄露,这些数据泄露会使您的公司损失数百万的诉讼和数百万的客户信任。
>>如果您想查看大量网络钓鱼统计数据,请继续查看我们的 2021 年网络钓鱼终极指南。<<
如果你想开始免费试用经 Hailbytes 认证的 GoPhish 网络钓鱼框架, 你可以在这里联系我们 欲了解更多信息或 立即开始您在 AWS 上的免费试用。
