根據定義,魚叉式網路釣魚是一種針對性很強的網路釣魚攻擊。 與任何網路釣魚攻擊一樣,它可以透過各種不同的媒體(電子郵件、簡訊、社交媒體等)執行,但魚叉式網路釣魚電子郵件是最常見的。
作為網路釣魚的一種類型,魚叉式網路釣魚的運作方式與其他網路釣魚攻擊非常相似,但製作網路釣魚訊息的過程有點不同。 此外,這些攻擊的設計意味著阻止網路釣魚電子郵件的方法可能無效,需要有針對性的魚叉式網路釣魚防禦。
有效的魚叉式網路釣魚攻擊需要大量有關攻擊目標的資訊。 攻擊者可能至少需要知道目標的姓名、工作地點、在組織中的角色和電子郵件地址。
雖然這提供了基本的目標訊息,但攻擊者還需要特定於攻擊所使用藉口的數據。 例如,如果攻擊者想要冒充團隊成員討論特定項目,他們需要有關該項目的高級資訊、同事的姓名,最好還需要該同事的寫作風格的副本。 如果冒充未支付發票的供應商,攻擊者需要擁有為可信任供應商建立令人信服的發票所需的資訊。
收集此資訊需要攻擊者對預期目標進行偵察。 許多所需的資訊可能可以在線獲得。 例如,LinkedIn 或類似網站上的個人資料頁面可能包含特定目標的工作角色和聯絡資訊。
可以透過檢查組織的網站、檢查涉及員工的專利以及查找他們撰寫的部落格文章或在線上論壇上發布的部落格文章來收集其他資訊。
收集這些資訊後,攻擊者可以對目標有一個紮實的了解。 這種理解可以用來發展個人化的藉口,旨在最大限度地提高攻擊的成功機率。
傳統網路釣魚和魚叉式網路釣魚的主要區別在於攻擊的針對性。
許多網路釣魚攻擊採取「數量重於品質」的方法——網路釣魚電子郵件被發送到盡可能多的潛在目標。 雖然成功的機會相對較低,但網路釣魚訊息的絕對數量意味著即使成功率較低,仍然可以導致多次成功的攻擊。 這種方式進行網路釣魚的主要優點是,透過冒充知名品牌(亞馬遜、Netflix、銀行等)或利用時事新聞,相對容易開發出適用性廣泛的網路釣魚郵件。(奧運、COVID-19、選舉等)。
魚叉式網路釣魚採用更有針對性的方法來選擇和攻擊受害者。 魚叉式網路釣魚不是撒下非常大的網,而是使用專門針對特定個人或小團體的藉口。 這種類型的攻擊需要做更多的工作來建立個人化藉口,但成功的可能性要高得多。
魚叉式網路釣魚攻擊可能非常複雜。 由於其中許多旨在誘騙目標採取特定操作,因此它們不需要惡意連結或附件即可實現其目標。 供應商的合法付款請求與攻擊者的虛假付款請求之間的唯一區別可能在於該組織是否實際使用了所謂供應商的服務。
防範網路釣魚電子郵件需要多道防線。 最大限度降低魚叉式網路釣魚相關風險的一些最佳實踐包括:
魚叉式網路釣魚防護是電子郵件安全的關鍵組成部分。 若要了解 Check Point 的 Harmony Email & Office 如何針對魚叉式網路釣魚攻擊提供有針對性的保護,歡迎您申請示範。
反映意見