如今,网络安全形势日趋严峻,层出不穷的网络钓鱼攻击不仅可以托管各种恶意软件和勒索软件攻击,而且更糟糕的是这些攻击正在呈现不断上升的趋势。
自 2012 年起,得益于最新网络钓鱼技术的加持,勒索软件开启了席卷互联网的格局。一些毫无顾忌且毫无准备的用户(包括企业和个人)开始发现自己的屏幕失去了控制,数据也不在自己的掌控之中,而且想要重新获取控制权的唯一方式就是向犯罪肇事者支付赎金,这些赎金通常都是无法追踪的加密货币,如比特币以及门罗币等。
数据显示,这些攻击的数量呈现逐年递增的趋势,仅在 2018 年的前 6 个月就达到了 1.81 亿起的高峰,比 2017 年同期增长了 229%。说到这里,不得不提一件有趣的事情。安全、用户意识和组织控制措施等多重因素在 2018 年下半年开始发挥作用,限制了勒索软件的发展,数据显示,到 2018 年 12 月底,勒索软件攻击同比下降了 60%。
然而不幸的是,一种形式的恶意软件的衰退往往只是残酷的安慰,并不会对整体威胁起到明显的作用。就在网络犯罪分子试图利用勒索软件摧毁用户的方式陷入困境之时,他们想到了网络钓鱼的策略。网络钓鱼是互联网上流行已久且行之有效的黑客攻击机制之一。在这种情况下,用户必须要为自己的设备部署保护性的防病毒软件进行防御。
2018年的网络钓鱼浪潮
2018 年 1 月到 12 月期间,微软报告的网络钓鱼事件数量增加了 250%,这大约 4700 多亿条垃圾电子邮件消息严重影响了互联网生态系统。
值得注意的是,网络钓鱼涉及一种阴暗的做法,即试图欺骗用户访问钓鱼网站,以此获取他们的数据信息或是让他们的系统感染上某种恶意软件。为了成功诱骗受害者,威胁行为者通常会利用电子邮件中的链接或附件、社交媒体消息中的链接或是流行的即时消息中的文本等。
网络钓鱼的构成因素非常复杂,并且通常会基于目标和协调攻击的渠道跨越多个子类别。其中 “鱼叉式网络钓鱼” 和 “网络捕鲸 (whaling) ” 被证明是特别危险且有效的两种网络钓鱼类型。主流的网络钓鱼活动仍然倾向于 “广撒网” 的方式,即向无数用户发送千篇一律毫无针对性的钓鱼信息,一定程度上有点类似于 “撞大运”,而鱼叉式网络钓鱼则是针对特定用户进行攻击。
为了准备发动这种攻击,威胁行为者会针对目标进行彻底的研究并获取其痛点、习惯和生活方式细节等信息。这些信息可以帮助犯罪分子量身定制受害者无法拒绝的邮件,进而大幅提升攻击成功率。
“网络捕鲸” (Whaling) 是另一种日趋普遍的网络钓鱼类型,它专注于特定组织中的高层管理人员。例如,通过入侵 CEO 的电子邮件账户,攻击者就可以冒充受害者并向员工发送诱杀信息,因为他们信任发件人,因此会急切地遵循所附的说明行事。
正如安全、用户意识和组织控制措施对抑制勒索软件发展所发挥的作用一样,用户同样能够通过学习和意识培训等途径,做到更容易识别出网络钓鱼尝试的程度。但是不幸的是,网络犯罪分子也一直在寻找操纵个人用户和企业的新方法,这导致至少有 7 种新型网络钓鱼攻击正在崛起,具体如下:
1. 指向流氓云存储位置的伪链接
这种方法通常被大量用于不熟悉公司所使用的每一种软件和资源的企业员工身上。这种伪云链接通常会要求员工输入用户名和密码等信息。而糟糕的现实是,员工通常习惯将与工作相关的所有或大部分登录密码设置为同一个,所以在伪链接中输入密码将为黑客带来令人垂涎的丰富信息。
2. 网络钓鱼附件
即使收件人足够聪明,可以避开点击钓鱼邮件中的链接,但是在其打开电子邮件时,可能也会打开附近。
3. 凭证网络钓鱼链接
欺诈者可以定制一封电子邮件,该电子邮件看起来就像是来自目标用户所使用的服务提供商发送的真实邮件。当它要求获取凭证时,一切都悔之晚矣。
4. 虚假短信息
获取用户的电话号码允许网络犯罪分子发送看似来自可信任来源的短信息,但实际上只是在诱使用户前往钓鱼网站而已。
5. 身份仿冒
黑客可以假扮成你认识的人,以获取你的信任并欺骗你点击恶意链接或下载恶意文件。
6. 域名仿冒
在这种形式的攻击中,网络钓鱼电子邮件域名看起来与你信任的域名非常相似,除了它有一些不明显的拼写错误,例如来自 bankoamerica.com 而不是来自 bankofamerica.com 的邮件。
7. 域名欺诈
黑客会对覆盖的真是域名进行模糊处理,以达到网络电子邮件域名与合法域名实现欺诈性的完美匹配。
网络钓鱼防御建议
通过即时消息、短息或电子邮件获取到的每条信息都需要谨慎对待,这是防护网络钓鱼攻击的一个经验法则。任何看起来有点可疑的东西都应该及时忽略并删除。如果你不确定它是否来自可信来源,请务必通过其他方法联系该来源,以确定他们是否发送过相关信息。
即便每个人都可能沦为网络攻击的目标,我们也要尽可能地成为一支 “移动靶”,学会识别网络钓鱼欺诈的明显漏洞。查找邮件以及收件人的电子邮件地址中的拼写错误和其他不准确之处。如果你冒险点击了可疑电子邮件中的链接,请立即检查生成的网页是否具有有效的 SSL 证书。
此外,请注意设置截止日期或以其他方式胁迫你做某事的消息,因为压力和紧迫感也是网络钓鱼的明显标志。重要的是,请记住,合法的服务提供商不会要求你提供敏感信息,例如你的登录凭证——因为他们已经掌握这些信息了。
最后,也是最重要的,应该研究、安装并持续更新你的设备所使用的著名防病毒软件,以确保你的系统安全。更新软件可使其恶意软件数据库了解最新的威胁类型,并可靠地保护你免受攻击威胁。