网络钓鱼,一种与病毒和尼日利亚王子一样古老的网络攻击方法,即使在2020年,仍然是发起针对个人和组织的攻击的最流行手段之一。这种策略非常有效,它衍生了许多子方法,包括短信诈骗(通过短信进行的网络钓鱼),网址嫁接,以及本博客的最新技术:鱼叉式网络钓鱼

但首先,一个简短的比喻。

我的一个朋友几天内就收到了大量电子邮件,都是针对他们的Netflix账户的。

点击放大

表明某件事不太正确的线索有很多:

  • 有六封电子邮件而不是一封。
  • 所有这些邮件都要求提供支付信息,但每封邮件都给出了不同的理由。
  • 有许多拼写错误。
  • 这些邮件并没有以任何方式进行个性化处理。

即使没有发现来自电子邮件正文的完全虚假的、非HTTPS的URL链接,这个朋友也不会上当。当然,他们有相当的安全基础知识。然而,考虑一下攻击者是否已经这样做了:

  • 从数据转储中获取了一些个人信息
  • 在网上搜寻此人的账户,可能是在社交媒体上
  • 我查了一下他们有没有Netflix的账户
  • 制作了一个模仿Netflix的电子邮件地址
  • 直接提到了潜在受害者的名字
  • 包括部分或全部家庭地址
  • 使用拼写检查
  • 建立一个免费的HTTPS网站
  • 使用了Netflix最新版本的logo

看出不同了吗?虽然第一组电子邮件不会通过知识浅显的用户的检查,但第二组电子邮件将很难被筛选为假邮件。

这就是业内所称的鱼叉式网络钓鱼

什么是鱼叉式网络钓鱼?

鱼钩式网络钓鱼的唯一目的是进入接收者的大脑,让他们认为他们所回复的信息是100%合法的,这是通过个人接触来实现的,旨在让他们认为他们所处理的是真正的交易。

虽然你可能会说,当被要求提供信用卡信息时应该拉响警铃,但说实话,一旦骗子把一些个人信息,比如姓名和地址,那就太迟了。

想象一下,如果骗子监控社交媒体动态,查看他们的目标点赞的内容,然后说一些类似的话,“请确保您的详细信息是正确的,以便继续欣赏《巫师》。”现在再加一张亨利·卡维尔看起来很酷的照片。

游戏。结束了。

正如你所预料的那样,这种攻击是相当难对付的。当完全随机的胡言乱语,比如拙劣的网飞(Netflix)网络钓鱼尝试,经常给全球各地的组织造成巨大损失时,尽管情况相当糟糕,这也于事无补。

我们有多少次看到医疗机构,甚至地方政府,通过虚假的人力资源税电子邮件中的虚假电子表格附件,与勒索软件发生冲突?别搞错了,这是非常现实和紧迫的问题对于那些被抓住的人。

由于普通的网络钓鱼已经给企业和消费者带来了巨大的麻烦,网络罪犯巧妙地结合了数据转储必威官网多少专业社会工程技术有更高的成功可能性。这是在你考虑其他形式的鱼叉式网络钓鱼之前,比如对话劫持(稍后详细介绍),或者利用鱼叉式网络钓鱼作为跳板,用恶意软件和其他数字恶意软件感染网络的攻击。

我们看一些数字好吗?

看那些垂直

几年前,预防鱼叉式网络钓鱼12个月的平均费用为319,327美元相比之下,任何成功的攻击都要付出更高的代价合计160万美元.2019年,统计数据严重倾向鱼叉式网络钓鱼说到他们自己,给骗子巨额赔偿是司空见惯的事。

4000万美元,5000万美元,甚至7000万美元以上常见的这是在你支付清理费用之前的集体诉讼.附加一点声誉受损一场公关风暴,你就具备了成功入侵的所有要素。对于受害者来说,就没有那么多了。

在鱼叉式网络钓鱼中,最微小的信息都可能导致一个组织的垮台,因为它会破坏所有功能完备的安全防御。

鱼叉式网络钓鱼的进化

鱼叉式网络钓鱼不仅仅局限于电子邮件领域。高针对性的袭击还会扩展到其他领域,尤其是那些充满了自愿提供信息的领域。在Twitter上劫持客户支持对话是一个这是一个很好的例子:骗子建立了模仿支持帐户,然后闯入对话,导致受害者到钓鱼中心。这是一个狡猾的举动。

这些骗局有多少是有针对性的,这是有争议的,考虑到他们是在飞行中进行攻击,而不是带着预先获得的知识介入。不同之处在于侦查的目标是潜在受害者帮助而不是受害者自己。注意客户支持账户何时处于活跃状态,查看最初的推文,以便他们可以假装是之前帮助过的同一个人,并采用他们的一些讲话习惯/公司用语,这些都有助于创造一个令人信服的假象。

在这一点上,我们真正要处理的是一个完美制作的模仿电子邮件,但是以人类的形式,并具有与受害者互动的能力。鱼叉式网络钓鱼曾见过如此强有力的进攻方式吗?当人们乐于把客户支持当作武器来对付你的时候,确实需要坐下来好好考虑一下。

对抗日益高涨的鱼叉式网络钓鱼

任何人都可能成为目标,但高管,尤其是首席执行官级别的高管,是犯罪分子的主要目标(这种目标有时被称为捕鲸)。出于必要,大多数组织的高管都被设置为公开可见,而骗子利用了这一点。如前所述,这是最难防御的攻击形式之一。

如果社会工程组件被设计成向恶意滥用,然后我们还需要考虑整体的安全基础设施。安全软件在对抗鱼叉式网络钓鱼的战争中,更新、防火墙等等都成为了重要的工具接下来会发生什么最初的脚在门上攻击。

像垃圾邮件过滤和检测这样的工具对于随机、随意的攻击是很好的,但考虑到鱼叉式网络钓鱼的直接性质,它可能是一个太远的桥梁,自动化标记为可疑。专注的、持续的培训在企业的各个层面都很重要,同时不要养成在事情出问题时责怪员工和第三方的习惯(他们最终会这样做的)。你不希望人们因为害怕陷入麻烦而减少报告事件的可能性——这是没有成效的,也不会帮助任何人。

帮助报告鱼叉式钓鱼攻击的工具,无论是专用的应用程序还是网络内部的一些基于web的东西,总是很有用的。确保部门至少对其他部门的重要业务流程有一定了解也是很好的。当不相关的部门a是不相关的部门b的另一层防御时,确保组织的安全就会容易一些。注意人力资源、会计和高层高管的互动。

如果你的公司没有考虑过要锁定什么然而,这是最好的时机。欧洲刑警组织关于鱼叉式网络钓鱼的EC3报告去年年底发布并为那些想要深入研究的人提供了关于这个主题的丰富信息。

思考所有形式的网络钓鱼,看看哪些对你的组织和员工来说可能是最大的危险,然后开始思考如何最好地解决这个问题。你不会后悔的,但骗子们肯定会后悔。