網路釣魚是一種網路安全攻擊,惡意行為者冒充可信任的個人或實體傳送訊息。網路釣魚訊息操縱用戶,導致他們執行安裝惡意檔案、點擊惡意連結或洩露存取憑證等敏感資訊等操作。
網路釣魚是最常見的社會工程類型,它是描述試圖操縱或欺騙電腦使用者的通用術語。社會工程是幾乎所有安全事件中使用的越來越常見的威脅向量。 社會工程攻擊(例如網路釣魚)通常與其他威脅結合在一起,例如惡意軟體、程式碼注入和網路攻擊。
Checkpoint Research 最近發布了2023 年年中網路安全報告,其中提供了有關網路釣魚攻擊和其他主要網路威脅的數據。
報告稱,網路釣魚攻擊是傳播惡意軟體最常見的方法之一。 生成式人工智慧的興起最近加劇了網路釣魚威脅,有助於消除過去網路釣魚攻擊較早被發現的打字錯誤和語法錯誤。
網路釣魚也是主要惡意軟體變體使用的常見技術。例如,2023 年上半年最常見的惡意軟體 Qbot 因其使用網路釣魚作為感染機製而聞名。
網路釣魚攻擊的基本要素是透過電子郵件、社群媒體或其他電子通訊方式發送的訊息。
網路釣魚者可能會利用公共資源,尤其是社交網絡,來收集有關受害者個人和工作經驗的背景資訊。這些來源用於收集信息,例如潛在受害者的姓名,職稱和電子郵件地址,以及興趣和活動。 然後,假冒者可以使用這些信息來創建可靠的假消息。
通常,受害者收到的電子郵件似乎來自已知的聯繫人或組織。 攻擊是通過惡意附件或鏈接到惡意網站進行。 攻擊者經常設置虛假網站,這些網站似乎是受害者的銀行、工作場所或大學等可信賴的實體所有。 通過這些網站,攻擊者嘗試收集私人信息,例如用戶名和密碼或付款信息。
一些網路釣魚電子郵件可能由於文案撰寫不當以及字體、徽標和佈局使用不當而被識別。然而,許多網絡犯罪分子在創建真實看起來的信息方面變得越來越複雜,並且正在使用專業的營銷技術來測試和提高他們的電子郵件的有效性。
網絡釣魚者使用各種技巧,使他們的攻擊對其目標看起來更可信,並實現目標。 一些常見的網路釣魚技術包括:
大多數網路釣魚攻擊都是透過電子郵件發送的。攻擊者通常會註冊仿真實組織的假網域名稱,並向受害者發送數千個常見請求。
對於虛假網域,攻擊者可以添加或替換字符(例如 my-bank.com 而不是 mybank.com), 使用子網域(例如,我的銀行 .host.com), 或使用受信任組織的名稱作為電子郵件使用者名稱(例如 mybank@host.com)。
許多網路釣魚電子郵件利用緊迫感或威脅感來促使用戶快速遵守,而不檢查電子郵件的來源或真實性。
電子郵件網路釣魚訊息有以下目標之一:
魚叉式網路釣魚包括發送給特定人員的惡意電子郵件。攻擊者通常已擁有以下有關受害者的部分或全部資訊:
這些資訊有助於提高網路釣魚電子郵件的有效性,並操縱受害者執行任務和活動,例如轉移。
捕鯨攻擊目標是高級管理人員和其他高度特權的角色。 捕鯨的最終目標與其他類型的網路釣魚攻擊相同,但其技術往往非常微妙。高級員工通常擁有大量公共領域的信息,攻擊者可以利用這些信息來製作高效的攻擊。
通常,這些攻擊不使用惡意網址和虛假連結等技巧。相反,他們利用他們在有關受害者的研究中發現的信息來利用高度個性化的消息。 例如,捕鯨攻擊者通常使用虛假的納稅申報表來發現有關受害者的敏感數據,並使用它來構建他們的攻擊。
這是一種使用電話而不是書面通信的網路釣魚攻擊。暗殺涉及發送欺詐短信,而訪問涉及電話對話。
在典型的語音網路釣魚詐騙中,攻擊者冒充信用卡公司或銀行的詐騙調查員,通知受害者他們的帳戶已被洩露。然後,罪犯要求受害者提供支付卡信息,據說是驗證他們的身份或將錢轉移到安全的帳戶(這真的是攻擊者的)。
語音釣魚詐騙還可能涉及冒充來自受信任實體的自動電話,要求受害者使用手機鍵盤輸入個人詳細資料。
這些攻擊使用屬於知名組織的假社交媒體帳戶。 攻擊者使用模仿合法組織 (例如「@pizzahutcustomercare」) 的帳戶代碼,並使用與真實公司帳戶相同的個人檔案圖片。
攻擊者利用消費者發出投訴的傾向,並要求使用社交媒體渠道向品牌尋求協助。 但是,消費者與攻擊者的假社交帳戶聯繫,而不是聯繫真實品牌。
當攻擊者收到此類請求時,他們可能會要求客戶提供個人信息,以便他們可以識別問題並適當地回應。 在其他情況下,攻擊者提供虛假客戶支持頁面的鏈接,這實際上是一個惡意網站。
威脅負面後果的電子郵件應始終以懷疑態度的待遇。 另一個策略是利用緊急性來鼓勵或要求立即採取行動。 網絡釣魚者希望通過急速閱讀電子郵件,他們不會徹底審查內容,也不會發現不一致。
網路釣魚的直接跡像是訊息的語言或語氣不恰當。例如,如果工作中的同事聽起來太輕鬆,或是親朋好友使用正式語言,這應該會引發懷疑。 郵件的收件者應檢查是否有任何其他可能表明網路釣魚郵件的內容。
如果電子郵件要求您執行非標準動作,則可能表示該電子郵件是惡意的。 例如,如果電子郵件聲稱來自特定 IT 團隊並要求安裝軟件,但這些活動通常由 IT 部門集中處理,則該電子郵件可能是惡意的。
拼字錯誤和語法濫用是網路釣魚電子郵件的另一個跡象。大多數公司都在其電子郵件客戶端設置了輸出電子郵件的拼寫檢查。 因此,包含拼字或語法錯誤的電子郵件應該引起懷疑,因為它們可能不來自聲稱來源。
識別潛在網路釣魚攻擊的另一種簡單方法是尋找不符的電子郵件地址、連結和網域名稱。例如,檢查與寄件者的電子郵件地址相符的先前通信是一個好主意。
收件者應始終將滑鼠停留在電子郵件中的連結上,然後再按一下該連結以查看實際連結目的地。 如果電子郵件被認為是由美國銀行發送,但電子郵件地址的域名不包含「bankofamerica.com」, 這是網路釣魚電子郵件的跡象。
在許多網路釣魚電子郵件中,攻擊者會創建從看似官方的電子郵件連結的虛假登入頁面。假登錄頁面通常有一個登錄框或要求提供財務帳戶信息。 如果電子郵件出現意外,收件者不應輸入登入憑證或按一下連結。 為預防措施,收件人應直接訪問他們認為是電子郵件來源的網站。
以下是您的組織可以降低網路釣魚攻擊風險的幾種方法。
培訓員工了解網路釣魚策略、識別網路釣魚跡象並向安全團隊報告可疑事件至關重要。
同樣,組織應該鼓勵員工在與網站互動之前尋找來自知名網路安全或防毒公司的信任徽章或貼紙。這表明該網站對安全性很嚴重,可能不是假冒或惡意的。
現代電子郵件過濾解決方案可以防範電子郵件中的惡意軟體和其他惡意負載。解決方案可以偵測包含惡意連結、附件、垃圾郵件內容和可能暗示網路釣魚攻擊的語言的電子郵件。
電子郵件安全解決方案會自動封鎖並隔離可疑電子郵件,並使用沙盒技術來「爆炸」電子郵件,以檢查它們是否包含惡意程式碼。
在工作場所中越來越多地使用雲端服務和個人裝置引入了許多可能未被充分保護的新端點。安全團隊必須假設某些端點將受到端點攻擊的破壞。監控端點是否有安全威脅並對受感染的裝置實施快速修復和回應至關重要。
模擬網路釣魚攻擊測試可以幫助安全團隊評估安全意識訓練計畫的有效性,並幫助最終用戶更了解攻擊。即使您的員工擅長發現可疑訊息,也應該定期對他們進行測試以模仿真正的網路釣魚攻擊。威脅環境不斷演變,網絡攻擊模擬也必須進化。
大多數網路釣魚方法旨在欺騙人類操作員,而特權使用者帳戶是網路犯罪分子的有吸引力的目標。限制對系統和資料的存取可協助保護敏感資料免遭洩漏。 使用最小權限原則,並僅向絕對需要它的用戶授予訪問權限。
Check Point Harmony郵件與協作提供強大的網路釣魚防護防禦,有效抵禦網路釣魚攻擊。 它被認為 2023 年的 Forrester Wave 企業電子郵件安全性領導者,為您的組織提供進階保護。 若要詳細了解Harmony電子郵件和協作如何保護您的組織免受最新的網路釣魚威脅,請立即申請免費演示。