网络钓鱼攻击被认为是企业和个人面临的最常见的安全挑战之一。据 Cloudflare《2023 年网络钓鱼威胁报告》[1]统计此类攻击在世界范围内已造成相关受害者损失超过 500 亿美元,Cloudflare于一年内处理了约130亿份电子邮件。较多的互联网、政府等工作者都收到过不同的网络钓鱼方式的攻击。随着黑客技术的进步,黑客和网络犯罪分子不断地开发新的网络钓鱼技术来对目标发起恶意攻击。那么常在网络银河游走的我们,如何快速识别所遇见的是美食还是恶意鱼钩呢?接下来我们为您提供一套针对各种网络钓鱼的秘籍,相信得此秘籍的员工便可规避各类钓鱼攻击。下面让我们讲解如何应对恶意钓鱼招式的秘籍:
第一钩 电子邮件钓鱼
钓鱼电子邮件是一种既古老又常用的钓鱼攻击手段。大多数时候,攻击者会通过伪装成值得信赖的发件人的方式来锁定目标。更专业的攻击者甚至会复制合法公司的完全相同的电子邮件格式,并加入恶意链接、文档或图像文件,以误导用户“确认”其个人信息或自动下载恶意代码。
识别秘籍:
1、索取个人信息的:合法公司绝不会通过电子邮件索取您的个人信息;
2、紧急问题的:许多骗子会用紧急通知来掩饰其网络钓鱼企图,例如账户被破坏、付款失败、登录验证或版权侵犯。记住,不要点击任何链接,直接去网站检查;
3、缩短的链接:缩短或压缩链接是屏蔽恶意url的方法。像Bitly或TinyURL这样的服务可以隐藏链接将带你去的实际网址;
4、存在拼写和语法错误:电子邮件中的任何拼写错误或语法问题都应该触发红色警报;
5、任何文件附件:除非对源代码进行了验证,否则一条有效的经验法则是永远不要打开任何附件,尤其是包含.exe、.zip和.scr扩展名的附件;
6、单张或空白图片:如果该邮件是电子邮件的截屏或空白框,但没有真正的文本,请不要点击图片。恶意软件代码可能被绑定到图像上,可以触发用户电脑自动下载恶意文件、代码。
第二钩 鱼叉式钓鱼
鱼叉式网络钓鱼是一种更具有定向性、针对性的电子邮件网络钓鱼方法,其主要攻击目标为特定的个人和组织。攻击者可以利用开源情报来收集公开的信息,然后针对整个企业或特定部门进行精准攻击。
识别秘籍:
1、异常请求:如果请求来自公司内部,要求获得高出其级别的权限,请直接通过另一种沟通渠道联系该人确认。
2、未经请求的电子邮件:如果电子邮件在未经请求的情况下提供了一个“重要文件”供下载和查看,那么它可能是一个虚假的电子邮件。在打开之前一定要验证发件人;
3、具体提及个人信息:骗子可能会试图通过提供关于您的其他非必要信息,来证明自己是一个值得信赖的信息来源。应该对明显试图获取您信任的行为存疑。
第三钩 商业电子邮件欺诈
商业电子邮件欺诈属于电子邮件中的特定方式,它用于针对商业公司,政府部门等目标,犯罪分子会冒充或获取拥有决策权的高管的电子邮件账户,然后以高管的身份向较低级别的员工发送内部请求。
识别秘籍:
1、邮件正文制造了紧迫感:大型交易和重要的商业交易通常需要时间,在完成之前要经过很多人的审查。如果这封邮件听起来特别紧急,而且收件人不超过2到3个人,就应该提高警惕;
2、存在不寻常的行为:复杂的欺诈者会尽量让自己听起来更专业,但也可能会注意到语调或个性的差异。如果一位高管说话或写作方式与平时不同,请密切关注钓鱼攻击的其他迹象;
3、没有法律信函:所有的商业交易都应该有一个法律团队或律师来确保合法性。如果邮件中没有律师,就通过公司的对外接口人找到正确的一方,以验证邮件的合法性。
第四钩 HTTPS 钓鱼
HTTPS网络钓鱼是一种基于url的攻击,试图欺骗用户点击一个看似安全的链接。
识别秘籍:
1、短网址:短链接可以隐藏链接的真实地址,是骗子隐藏网络钓鱼企图的好方法。链接应该是他们的原始格式,以便您可以验证其来源;
2、超链接文本:带有可点击链接的文本也会将您引向恶意网站。确保将鼠标悬停在链接上(不单击它)以查看源URL;
3、URL拼写错误:电子邮件域中的任何拼写错误都是电子邮件是伪造的直接迹象。
第五钩 即时通讯软件钓鱼
通讯软件钓鱼是通过发送链接或文件的消息进行的一种网络钓鱼攻击。由于现在人们无法离开即时通讯软件,许多的工作、学习、生活都需要通过即时通讯软件去沟通交流。统计数据显示,虽然在许多工作场合明确要求需要使用邮件或者内部软件,但工作者为了方便依旧通过即时通讯软件来交流。然而,黑客也发现了工作人员过度依赖即时通讯软件的弱点,黑客冒充受害者的朋友,同学等向目标投递文件、链接进行钓鱼。
识别秘籍:
1、不请自来的好友:查看收到的好友请求,是否为假冒的朋友。
2、未知文件:对于即时通讯软件收到的文件,如果是陌生人发的文件,首先确定发件人,再对文件进行扫描,并且在隔离环境中打开。
3、身份验证请求:如果您收到未经授权的身份验证请求,则可能有人试图访问您的某个账户。
第六钩 弹窗钓鱼
尽管大多数人的浏览器上都安装了广告或弹出窗口拦截器,但黑客仍然可以在网站上嵌入恶意软件。它们可能出现在通知框中,或者看起来像网页上的合法广告。任何点击这些弹出窗口或广告的人都会感染恶意软件。
识别秘籍:
1、浏览器通知:许多浏览器会在用户访问新网站时,提示用户选择“允许”或“拒绝”通知,则可能为钓鱼弹窗。
2、新选项卡或窗口:没有弹出拦截器的网页浏览可能是危险的,特别是对于移动设备而言。访问某些网站会触发一个新的选项卡或窗口打开,其中包含下载恶意软件的链接;
3、紧急消息:弹出窗口声称您需要更新防病毒软件或更新订阅是明显的钓鱼标志。
第七钩 搜索引擎钓鱼
在搜索引擎网络钓鱼中,骗子会根据高价值的关键词和搜索创建合法页面,让它们在流行的搜索引擎上排名。这些页面通常以吸引眼球的内容为特色,以吸引毫无戒心的用户。一旦用户登录到这些页面,他们被要求输入银行信息或他们的个人信息。这些虚假页面通常包括:免费产品、投资机会 、折扣代码、工作机会、约会匹配等
识别秘籍:
1、强调免费:没有什么是真正免费的,如果它听起来好得令人难以置信,那么它很可能就有钓鱼企图。
2、制作拙劣的网站:许多这样的网站制作得非常快,因为一旦被举报,它们往往会被关闭。如果它看起来像一个低质量的网站,无论如何都要避免它。
参考文献:
【1】Introducing Cloudflare's 2023 phishing threats report,https://blog.cloudflare/
.com/zh-cn/2023-phishing-report-zh-cn/(访问日期,2023年11月1日)
作者:翟亮
单位:中国移动智慧家庭运营中心