信息化觀察網(wǎng)

導(dǎo)語

你是否可以將魚叉式網(wǎng)絡(luò)釣魚和語音釣魚與鯨釣攻擊和克隆釣魚區(qū)別開來？本文解釋了如何識別每一種類型的威脅。

每次數(shù)據(jù)泄露和在線攻擊似乎都涉及某種網(wǎng)絡(luò)釣魚，這類攻擊企圖竊取密碼登錄信息、發(fā)起欺詐性交易或者誘使人們下載惡意軟件。的確，Verizon發(fā)布的《2020年數(shù)據(jù)泄露調(diào)查報告》發(fā)現(xiàn)，網(wǎng)絡(luò)釣魚是與泄露有關(guān)的頭號威脅活動。

企業(yè)經(jīng)常提醒用戶留意網(wǎng)絡(luò)釣魚攻擊，但是許多用戶并不真正知道如何識別它們。而人類又往往不善于識別騙局。

據(jù)Proofpoint的《2020年網(wǎng)絡(luò)釣魚狀態(tài)報告》顯示，美國65%的企業(yè)組織在2019年遭遇了得逞的網(wǎng)絡(luò)釣魚攻擊。這既表明了攻擊者很高明，又表明了需要同樣很高明的安全意識培訓(xùn)。還有這一點(diǎn)：并非所有的網(wǎng)絡(luò)釣魚騙局都以相同的方式運(yùn)作――有些是普通的電子郵件轟炸，另一些則經(jīng)過精心設(shè)計，以攻擊特定類型的人群，要培訓(xùn)用戶知道郵件何時很可疑比較困難。

不妨看一下網(wǎng)絡(luò)釣魚攻擊的不同類型以及如何識別它們。

網(wǎng)絡(luò)釣魚：群發(fā)電子郵件

最常見的網(wǎng)絡(luò)釣魚形式是普通的群發(fā)郵件，即有人發(fā)送一封冒充他人的電子郵件，試圖誘騙收件人執(zhí)行某種操作，通常是登錄網(wǎng)站或下載惡意軟件。攻擊通常依賴電子郵件進(jìn)行，即偽造電子郵件標(biāo)題（發(fā)件人字段），好讓郵件看起來像是由可信任的發(fā)件人發(fā)送的。

然而，網(wǎng)絡(luò)釣魚攻擊并不總是看起來像是UPS投遞通知電子郵件、PayPal關(guān)于密碼將過期的警告消息或關(guān)于存儲配額的Office 365電子郵件。一些攻擊是專門針對組織和個人而設(shè)計的，另一些攻擊則依賴電子郵件之外的方法。

魚叉式網(wǎng)絡(luò)釣魚：攻擊特定目標(biāo)

網(wǎng)絡(luò)釣魚攻擊因此而得名：騙子們通過使用欺騙性或欺詐性的電子郵件作為誘餌來釣魚，尋找隨機(jī)的受害者。魚叉式網(wǎng)絡(luò)釣魚攻擊用釣魚來比喻，因為攻擊者專門針對高價值的受害者和企業(yè)組織下手。攻擊者可能覺得攻擊少數(shù)幾家公司企業(yè)更有利可圖，而不是試圖搞到1000個消費(fèi)者的銀行登錄信息。有政府撐腰的攻擊者可能盯上為其他國家的政府機(jī)構(gòu)效力的雇員或政府官員，以竊取國家機(jī)密。

魚叉式網(wǎng)絡(luò)釣魚攻擊的成功率極高，因為攻擊者花大量時間來制作專門針對收件人的信息，比如介紹收件人可能剛出席的會議或發(fā)送惡意附件，其中文件名提到了收件人感興趣的主題。

在2017年的一次網(wǎng)絡(luò)釣魚活動中，Group 74（又名Sofact、APT28或Fancy Bear）利用一封佯稱與美國網(wǎng)絡(luò)沖突會議有關(guān)的電子郵件攻擊了網(wǎng)絡(luò)安全專業(yè)人員，該會議由美國西點(diǎn)軍校陸軍網(wǎng)絡(luò)學(xué)院、北約組織協(xié)作網(wǎng)絡(luò)軍事學(xué)院和北約組織協(xié)作網(wǎng)絡(luò)防御卓越中心共同組織。雖然確實有CyCon這個會議，但附件實際上是一個含有惡意Visual Basic for Applications（VBA）宏指令的文檔，該宏指令會下載并執(zhí)行名為Seduploader的偵察惡意軟件。

鯨釣攻擊：追逐大目標(biāo)

不同的受害者，不同的發(fā)薪日。專門針對企業(yè)高管的網(wǎng)絡(luò)釣魚攻擊名為鯨釣攻擊，因為受害者被認(rèn)為具有高價值，而且被盜的信息將比普通員工提供的信息更有價值。相比入門級員工，屬于首席執(zhí)行官的賬戶登錄信息會打開更多的大門。目標(biāo)是竊取數(shù)據(jù)、員工信息和現(xiàn)金。

鯨釣攻擊還需要更深入地研究，因為攻擊者需要知道目標(biāo)受害者與誰聯(lián)系、他們在進(jìn)行哪種討論。例子包括提到客戶投訴、法律傳票，或甚至公司管理層中的問題。攻擊者通常先采用社會工程學(xué)伎倆，以收集有關(guān)受害者和公司的信息，然后設(shè)計將用于鯨釣攻擊的網(wǎng)絡(luò)釣魚消息。

商業(yè)電子郵件入侵（BEC）：

冒充首席執(zhí)行官

除了普通的群發(fā)網(wǎng)絡(luò)釣魚活動外，犯罪分子還通過商業(yè)電子郵件入侵（BEC）欺詐和首席執(zhí)行官郵件欺詐來攻擊財務(wù)和會計部門的關(guān)鍵人員。這些犯罪分子通過冒充財務(wù)人員和首席執(zhí)行官，企圖誘騙受害者將資金轉(zhuǎn)入到未經(jīng)授權(quán)的賬戶。

攻擊者通常通過利用現(xiàn)有感染或通過魚叉式網(wǎng)絡(luò)釣魚攻擊，入侵公司高管或財務(wù)人員的電子郵件賬戶。攻擊者潛伏下來，對高管的郵件活動監(jiān)視一段時間，以摸透該公司內(nèi)部的流程和程序。實際的攻擊采取虛假郵件的形式，虛假郵件看起來像是從中招高管的賬戶發(fā)送給常規(guī)收件人的郵件。郵件似乎很重要很緊迫，要求收件人立馬電匯到外部或陌生的銀行賬戶。這筆錢最終進(jìn)入到攻擊者的銀行賬戶。

據(jù)反網(wǎng)絡(luò)釣魚工作組的《2020年第二季度網(wǎng)絡(luò)釣魚活動趨勢報告》顯示，“商業(yè)電子郵件入侵（BEC）攻擊導(dǎo)致的電匯損失平均額在增加：2020年第二季度企圖電匯的平均額為80183美元。”

克隆釣魚：當(dāng)副本同樣管用時

克隆釣魚要求攻擊者創(chuàng)建與合法郵件幾乎一模一樣的副本，以誘騙受害者信以為真。電子郵件是從類似合法發(fā)件人的地址發(fā)送的，郵件正文與上一封郵件相同。唯一的區(qū)別是附件或郵件中的鏈接被換成了惡意附件或鏈接。攻擊者可能會以需要重新發(fā)送原始或更新版的內(nèi)容為借口，解釋受害人為何再次收到“同樣”的郵件。

這種攻擊基于先前看到的合法郵件，從而使用戶更有可能上當(dāng)、受到攻擊。已經(jīng)感染了一個用戶的攻擊者可以對同樣收到克隆郵件的另一人運(yùn)用這種手法。另一種形式是，攻擊者可能創(chuàng)建一個附有欺騙性域名的克隆網(wǎng)站，以欺騙受害者。

語音釣魚：通過電話進(jìn)行網(wǎng)絡(luò)釣魚

語音釣魚需要使用電話。受害者通常接到電話，語音消息偽裝成了金融機(jī)構(gòu)發(fā)來的信息。比如說，消息可能要求收件人撥打號碼，并輸入他們的賬戶信息或PIN（出于安全或其他官方目的）。但是，電話號碼通過IP語音服務(wù)直接撥入到攻擊者。

在2019年一次狡猾的語音釣魚騙局中，犯罪分子打電話給受害者，冒充是蘋果技術(shù)支持人員，向用戶提供了一個解決“安全問題”的電話號碼。就像老套的Windows技術(shù)支持騙局一樣，這個騙局正是利用了用戶擔(dān)心設(shè)備被黑的心理。

短信釣魚：通過短信進(jìn)行的網(wǎng)絡(luò)釣魚

短信釣魚是“網(wǎng)絡(luò)釣魚”和“短信”的混合詞，短信（SMS）是大多數(shù)電話短信服務(wù)所使用的協(xié)議。這種網(wǎng)絡(luò)攻擊使用誤導(dǎo)性的短信來欺騙受害者。目的是誘騙人們以為信息是可信任的人或組織發(fā)來的，然后說服你采取行動，讓攻擊者可以獲得可利用的信息（比如銀行賬戶登錄信息）或訪問你的移動設(shè)備。

由于人們閱讀和回復(fù)短信的可能性比電子郵件高，因此短信釣魚日益猖獗：人們閱讀98%的短信和回復(fù)45%的短信，而閱讀郵件和回復(fù)郵件的比例分別只有20%和6%。而用戶對于計算機(jī)上的可疑消息不像對于電話上的可疑消息那么留意，而個人設(shè)備通常缺少公司PC采用的那種安全技術(shù)。

雪鞋攻擊：傳播毒害信息

雪鞋攻擊即“打了就跑”的垃圾郵件要求攻擊者通過多個域和IP地址發(fā)送郵件。每個IP地址發(fā)送少量郵件，因此基于信譽(yù)或數(shù)量的垃圾郵件過濾技術(shù)無法立即識別和阻止惡意郵件。過濾系統(tǒng)還未來得及阻止，一些郵件就進(jìn)入到了電子郵件收件箱。

冰雹活動與雪靴攻擊的原理大致一樣，只不過郵件在極短的時間內(nèi)發(fā)送出去。就在反垃圾郵件工具反應(yīng)過來并更新過濾系統(tǒng)以阻止將來的郵件時，一些冰雹攻擊已結(jié)束了，而攻擊者已經(jīng)將目光轉(zhuǎn)向了下一次活動。

學(xué)會識別不同類型的網(wǎng)絡(luò)釣魚

用戶不善于了解受到網(wǎng)絡(luò)釣魚攻擊帶來的影響。精明的用戶也許能夠評估點(diǎn)擊電子郵件中鏈接的風(fēng)險，因為這可能導(dǎo)致惡意軟件下載或后續(xù)的詐騙郵件索要錢財。然而，天真的用戶可能認(rèn)為什么都不會發(fā)生，或者到頭來會收到垃圾郵件廣告和彈出窗口。只有最精明的用戶才能估計登錄信息竊取和賬戶泄露可能造成的危害。這種風(fēng)險評估上的缺口使用戶更難明白識別惡意郵件的嚴(yán)重性。

企業(yè)組織需要考慮現(xiàn)有的內(nèi)部意識運(yùn)動，并確保為員工提供識別不同類型攻擊的工具。企業(yè)組織還需要加強(qiáng)安全防護(hù)，因為垃圾郵件過濾系統(tǒng)等一些傳統(tǒng)的電子郵件安全工具不足以防范一些類型的網(wǎng)絡(luò)釣魚攻擊。

作者：本文作者Fahmida Y.Rashid是一位自由撰稿人，他為《CSO》撰稿，主要關(guān)注信息安全。

編譯：沈建苗

原文網(wǎng)址：https://www.csoonline.com/article/3234716/8-types-of-phishing-attacks-and-how-to-identify-them.html