网络钓鱼是什么?解释6种常见的网络安全漏洞
想象一下:Simone是一个收购团队的负责人,该团队正处于一笔大交易的最后一轮竞争中。在这次大型演示的那天早上,她起得很早,看到一个团队成员发来的Dropbox链接,主题是“今天会议的紧急更新”。
Simone很困惑,因为她不希望有进一步的更改,但还是点击了链接并登录打开了文档。她马上意识到自己的错误。没有什么可查看的,只有一个空白的错误页面。西蒙妮不小心掉进了网络钓鱼攻击的陷阱,这使得她的个人信息以及公司的安全都处于危险之中。
如果你花了大量的时间在互联网上,你可能会同情Simone的故事。网络钓鱼诈骗在我们这个高度互联的网络社会中无处不在。任何拥有活跃电子邮件账户的人都可能收到过钓鱼邮件,因为每天都有数百万条欺诈信息被发送出去。
但是网络钓鱼不仅仅是简单的诱饵切换场景。继续阅读,了解更多关于网络钓鱼,网络钓鱼攻击的常见类型,以及你可以采取的步骤,以帮助避免被电子邮件诈骗上钩。
网络钓鱼是什么?
网络钓鱼是一个总称,指的是通过电子通信获取数据和/或敏感信息的各种欺诈手段。大多数网络钓鱼攻击是通过电子邮件进行的,是由网络攻击者伪装成另一个实体来获取你的信息。
如果你认为自己很精明,不会上当受骗,那就再想想吧。根据一项迈克菲®和战略与国际研究中心(Center for Strategic and International Studies)的报告显示,在使用在线服务的20亿人中,有近三分之二的人的数据被窃取或泄露。1任何拥有电子邮件账户或在线身份的人都可能成为钓鱼诈骗的目标。对公司和组织的负面影响可能是严重的。成功的网络钓鱼攻击最常见的后果是数据丢失、证书和账户被泄露、安装勒索软件和恶意软件,以及经济损失。这些损失可能是巨大的IBM®报告2020年,数据泄露的全球平均成本为386万美元。2
网络攻击者通过网络钓鱼得到了什么?
毫无疑问,获取信息和金钱几乎总是网络钓鱼攻击的最终目标。网络钓鱼犯罪的作案者可以通过各种方式获取非法的经济利益。一些例子包括出售密码、个人信息和数据;威胁披露私人或敏感材料以换取赎金;侵入银行账户;窃取证件和身份;和安装恶意软件。
钓鱼攻击的类型
这些网络犯罪背后的人不断改进他们的策略,寻找新的方法来剥削人和组织。继续阅读,了解更多关于经常使用的不同类型的网络钓鱼攻击。
欺骗
欺骗,或故意歪曲通信的来源或身份,使其看起来像是来自一个可信的来源,是网络钓鱼诈骗的主要手段。犯罪分子最常欺骗电子邮件地址、域名和IP地址,诱使人们使用他们的恶意链接或软件。这样做效果很好,因为人们更有可能打开来自他们知道或使用的实体的电子邮件。
鱼叉式网络钓鱼
鱼叉式网络钓鱼是一种具有高度针对性的骗局,旨在欺骗一个人或一小群人。与基于广泛网络钓鱼的尝试相比,所使用的电子邮件或其他电子通信是为目标收件人定制的。为了成功地进行网络钓鱼,犯罪分子利用公开的目标信息使骗局尽可能地令人信服。即使是一些简单的事情,比如知道目标住在哪里,或者目标使用的网络账户,也可以帮助骗子设计他们的攻击。
捕鲸
捕鲸使用与鱼叉式网络钓鱼相同的策略,但对突出的、高价值的目标特别关注。为了成功进行捕鲸攻击,网络犯罪分子会谨慎地选择一个组织的高级或高级领导人,假装是朋友或值得信任的同事。这种策略是一种商务邮件妥协(BEC),有时被称为CEO欺诈。网络钓鱼者擅长伪造电子邮件、网站和证书,使其看起来像是来自同事的合法信息。
高管和其他知名人士在策划自己的在线形象时应该格外小心。分享个人信息——即使是日常的事情,比如生日、工作头衔、假期或人际关系——都可能被罪犯用来进行量身定做的攻击。
克隆钓鱼
正如“克隆”一词所暗示的那样,这种攻击使用以前发送过的真实电子邮件,然后再发送一次——但添加了危险的附加信息。骗子会用恶意软件、病毒或勒索软件替换合法的链接或附件,让接收者误以为它们来自可信的来源。这种骗局尤其阴险,因为一个收件箱里有很多邮件的忙碌员工很可能会毫不犹豫地点击它。
如何远离网络钓鱼
你的网络安全将必须分层和多管齐下才能有效。以下是打击“网络钓鱼”诈骗的有效贴士:
- 对网络钓鱼诈骗要有风险意识。简单的训练和重复可以帮助养成好习惯。
- 注意典型的骗局迹象,如拼写错误或名称、url、发送者信息、网站和语法错误。
- 使用密码管理器来减少使用复杂和唯一密码的麻烦。
- 使用电子邮件签名证书给那些显眼的员工,比如ceo和领导,他们可能是目标。
- 使用公共Wi-Fi时要小心。永远不要下载应用程序或提供个人信息来换取免费上网。
- 保持强大的网络安全程序。使用电子邮件过滤器、杀毒软件和vpn。
以网络安全为职业,打击骗子
骗子们从不睡觉,企业在保护数据和信息安全方面面临着前所未有的压力。虽然网络钓鱼和其他恶意网络活动的负面影响肯定是巨大的,但对技术专业人士来说,也有一线希望。组织需要高技能的帮助来确保网络的安全,并将安全故障造成的损害降到最低。可以赚网络安全程度对你来说是正确的举动吗?我们的文章”网络安全学位值得吗?分析了事实可以帮助你做决定。
1McAfee和战略国际研究中心,2018年2月[访问2021年4月]https://www.csis.org/analysis/economic-impact-cybercrime
2IBM,《2020年数据泄露报告的成本重点》(浏览于2021年4月)https://www.ibm.com/downloads/cas/QMXVZX6R
McAfee是McAfee, LLC的注册商标。
IBM是国际商业机器公司的注册商标