鱼叉式网络钓鱼是 常见的网络攻击类型 攻击者集中注意力,精心制作细节, 有针对性的电子邮件发送给特定的收件人或组. 这就要求攻击者研究他们的目标,找到重要的细节,让他们的信息看起来可信——所有这些都是为了欺骗和诱骗有价值的目标点击或下载恶意的有效载荷, 或者启动一个不希望的操作,比如电汇.
鱼叉式网络钓鱼攻击可能一次只针对一个组织, 甚至是一个组织内的特定团队. 当鱼叉式网络钓鱼攻击变得更加精细时, 他们经常用激光瞄准最大的目标, such as C-level executives or senior managers; this kind of hyper-specific phishing attack is colloquially called a 捕鲸网络钓鱼攻击.
而另一方面, 标准网络钓鱼攻击 以影响尽可能多的目标为目标,假设一些用户可能会成为诡计的受害者. 这些类型的攻击更为普遍,潜在的攻击者只需较少的努力和输出就可以破坏目标, 而不是试图对高级管理人员或特定组织进行网络钓鱼.
当罪犯发送网络钓鱼邮件时, 他们把网撒得尽可能宽,希望能捕到鱼. 要做到这一点, 他们发送垃圾邮件,试图说服不知情的用户点击恶意链接或附件, 通常是假装来自合法来源, 都是为了获取敏感信息或有价值的凭证.
长期以来,网络钓鱼攻击一直很普遍,因为它们的部署成本很低, 但仍然有效,有利可图. 但随着电子邮件安全变得越来越复杂, 常见的网络钓鱼策略越来越容易被发现, 即使是那些到达预定目的地的网络钓鱼邮件也不足以有效地欺骗警惕的用户.
因此,攻击者正在采用新的策略,使他们的网络钓鱼邮件更可信. 最初的网络钓鱼方法——广泛撒网——正在让位于专注于使用真实细节来使潜在受害者相信其合法性的方法. 鱼叉式网络钓鱼只是这种攻击方式的一个术语.
企业尤其容易受到鱼叉式网络钓鱼攻击, 因为他们公司的很多数据通常都可以在网上免费获得,攻击者可以在没有任何危险信号的情况下进行挖掘. 公司的官方网站可能是公司特定技术细节和术语的金矿, 公司主要人员, 客户, 事件, 甚至是内部软件工具的名称. 像Facebook这样的社交网络, 推特, 和领英通常不仅提供工作地点的个人信息, 或者他们过去工作过的地方, 但是,攻击者只需粗略地搜索一下,就能轻易地发现公司的等级制度.
在鱼叉式网络钓鱼邮件中, 这些在网上免费提供的小细节可以帮助攻击者在他们的电子邮件中散布姓名, 的地方, 或者使用足够有效的术语来说服原本精明的电子邮件收件人点击恶意链接. 该链接可能会将他们发送到一个准备捕获敏感内部凭据的网站, 因此,攻击者可以在公司网络上自由漫游,窃取知识产权或客户数据.
例如, 通过了解组织内部电子邮件地址的结构, 客户经理的名字(通过LinkedIn很方便地自我识别), 关键客户名称(在公司博客上), 谁是销售主管(在公司网站上), 攻击者可以制作一封令人信服的电子邮件给整个账户管理团队, 据说是销售主管说的, 事关他们最大的客户之一的紧急事件.
这封电子邮件可能会说,收件人需要在他们公司内部网的一个特定链接上查看备忘录——这个链接看起来很像他们的内部网门户,但实际上是一个恶意的诱饵版本,目的是捕获用户名和密码. 在报税季,金融团队经常成为鱼叉式网络钓鱼攻击的目标, 假装是公司首席执行官或首席财务官发来的,需要紧急审核W2文件.
所有打击网络钓鱼的常见智慧也适用于鱼叉式网络钓鱼,并且是防御这类攻击的良好基线. 永远不要点击电子邮件中的链接是防止网络钓鱼类攻击可能造成的损害的铁律. 也就是说, 因为鱼叉式网络钓鱼是一种更复杂的老式网络钓鱼攻击, 组织将需要确保他们的政策参考这些更先进的策略,并实施更强大的解决方案,以帮助员工进行相应的防御.
帮助组织防止鱼叉式网络钓鱼攻击的其他提示包括:
一个健壮的 网络钓鱼意识培训计划 超越课堂培训. 最好的培训项目还会定期部署模拟网络钓鱼“测试”,,即向公司员工发送令人信服(但无害)的鱼叉式网络钓鱼邮件. 如果员工落入网络钓鱼的圈套, 他们将能够第一手了解这些活动的有效性以及未来需要寻找的内容,同时在受控环境中保持组织数据的安全.
在打击鱼叉式网络钓鱼的斗争中, 员工是第一线, 这就是为什么每个组织都可以从网络钓鱼意识培训项目中受益的原因 网络钓鱼保护 让他们的员工保持敏锐,时刻警惕这种不断演变的攻击.