即使您不太了解網絡安全並且不是特別精通技術,您也可能聽說過網絡釣魚這個詞。但是,您知道它是如何工作的以及最常見的網絡釣魚形式是什麼嗎?
據估計,每天發送大約 150 億封垃圾郵件。更令人擔憂的是,平均每 99 封郵件中就有 1 封是網絡釣魚攻擊,這意味著整體攻擊率剛剛超過 1%。
而且,除此之外,大約 90% 的違規行為都是由於網絡釣魚造成的。所有這些數字都表明了解網絡釣魚的工作原理以及針對網絡釣魚的最佳保護措施是多麼重要。
在此詳細頁面中,我們將介紹各種形式的網絡釣魚、它們之間的區別,並與您分享網絡釣魚電子郵件的示例,以幫助您了解您需要了解的有關此網絡安全威脅的所有信息。
內容
釣魚是什麼意思?
防止網絡釣魚的第一步是了解它是什麼以及它是如何工作的。那麼,phished 是什麼意思,又是如何被phished 的呢?簡而言之,網絡釣魚是攻擊者用來竊取您的個人數據的一種社會工程攻擊形式。
從本質上講,網絡釣魚是一種非常簡單的攻擊形式。它圍繞著通過冒充可信賴的來源來欺騙目標受害者。由於信任發件人,受害者在不知不覺中用惡意軟件感染了他們的設備,凍結了他們的系統,或者分享了他們不會透露給陌生人的敏感信息。
根據網絡釣魚攻擊的嚴重程度,可能會對受害者造成非常嚴重的後果。目標可能會遭遇身份盜用或損失所有金錢。至於目標是誰,任何人都可能成為此類攻擊的犧牲品。此外,網絡釣魚不僅僅影響個人。這在商業世界中也很常見。
什麼是電子郵件網絡釣魚?
大多數網絡釣魚攻擊都是通過電子郵件進行的,因此突出顯示此方法以幫助您識別它是關鍵。這個過程相當簡單。電子郵件網絡釣魚技術涉及攻擊者註冊虛假域並創建類似於來自合法來源的虛假憑據。
例如,您可能會收到一封冒充銀行支持代理或代表的電子郵件,敦促您更改密碼、單擊鏈接填寫一些信息,或者只是下載一些包含最新更新的附件。
許多毫無戒心的人認為,僅僅因為電子郵件似乎來自可識別的地址,所以與之交互是安全的。但是,為避免通過電子郵件鏈接或附件被釣魚,請始終確保仔細檢查發件人的電子郵件地址並確保電子郵件是真實的。
網絡釣魚攻擊示例
雖然此網絡釣魚示例是影響在線用戶的最常見示例,但您還應該了解許多其他類型的網絡釣魚。為了幫助您識別其他流行的網絡釣魚類型,讓我們快速突出顯示它們:
- 網絡釣魚- 這種形式的網絡釣魚用短信代替電子郵件通信。它涉及網絡攻擊者向受害者發送一條帶有鏈接或附件的類似製作的消息,敦促他們點擊短信的內容。
- 網絡釣魚- 與之前的網絡釣魚形式一樣,這包括以受害者的電話為目標,但這次是通過語音消息。攻擊者留下語音信息,試圖誘使受害者透露有價值的個人或財務信息。
- Angler 網絡釣魚- Angler 網絡釣魚在當今的社交媒體時代變得越來越普遍。攻擊者偽裝成公司代表或客戶服務代理,以獲取其他社交媒體用戶的個人信息、帳戶憑據或其他數據
什麼是魚叉式網絡釣魚?
魚叉式網絡釣魚是一種更複雜的網絡釣魚類型。與通常撒下更廣泛的網絡以希望捕獲受害者的常規網絡釣魚不同,魚叉式網絡釣魚更具針對性。因此,在魚叉式網絡釣魚與網絡釣魚的背景下,後者更注重數量。雖然網絡釣魚攻擊通常與數以千計的收件人進行交互,但魚叉式網絡釣魚攻擊的數量遠不及這個數字。
相反,魚叉式網絡釣魚攻擊將您作為個人進行攻擊。在向您發送魚叉式網絡釣魚電子郵件之前,攻擊者會進行社會工程,試圖挖掘盡可能多的關於您的信息,讓他們看起來好像認識您。
考慮到這一點,魚叉式網絡釣魚攻擊通常針對一個非常具體的目標。大多數情況下,他們將自己偽裝成您的業務或個人生活中的某個人,要求您向他們匯款並向您轉發看似真實的接線說明。
捕鯨與魚叉式網絡釣魚與網絡釣魚
除了魚叉式網絡釣魚之外,還有一種更具針對性的攻擊類型,稱為捕鯨。這種形式的網絡釣魚僅針對企業界的高層 CEO 和員工。捕鯨攻擊通常需要攻擊者進行廣泛的研究和準備,以便定製網絡釣魚電子郵件以獲得最大的成功機會。
簡而言之,捕鯨攻擊與常規網絡釣魚攻擊的工作方式相同,只是藉口更具體。例如,網絡攻擊者冒充員工的老闆或同事,通常會向他們求情或提供某種機會,以誘使他們與惡意電子郵件進行交互。
網絡釣魚攻擊示例
網絡釣魚攻擊的例子
由於網絡釣魚是網絡世界中最常見的安全威脅,因此網絡釣魚攻擊的例子數不勝數。如此之多,以至於即使是世界上一些最大的公司也無法不受此類威脅的影響。考慮到這一點,我們想分享過去幾年發生的兩個著名的網絡釣魚攻擊。
就在今年,發生了基於 AITM(中間人)策略的 Microsoft 365 帳戶攻擊。該攻擊目標明確,甚至對啟用了 MFA 的用戶電子郵件帳戶也有效。
網絡釣魚攻擊示例
但是,這遠不是 2022 年唯一一次成功的大型網絡釣魚攻擊。美國知名公司 Cloudflare 也經歷了一次網絡釣魚攻擊,其員工被誘騙在網絡釣魚站點輸入工作憑證。在不到一分鐘的時間裡,至少有 76 名 Cloudflare 員工收到了釣魚短信,其中許多人成為了這一詭計的受害者。
網絡釣魚攻擊示例
如何阻止網絡釣魚攻擊?
阻止網絡釣魚攻擊具有挑戰性,因為大多數人只有在為時已晚時才注意到發生了什麼。但是,您可以使用一些預防方法來確保您不會成為網絡釣魚攻擊的受害者。以下是關於如何防止網絡釣魚攻擊的四個最佳提示:
- 單擊前始終驗證- 這個簡單的提示對於幫助您避免網絡釣魚詐騙非常有效。在單擊鏈接或附件之前,請務必三思,避免單擊您不是 100% 確定的內容。
- 將您的信息保密 - 除非萬不得已,否則不要透露您的私人信息。即使您想登錄或在線購買東西,也不要通過電子郵件或短信鏈接進行。直接轉到源站點。
- 保持一切最新- 主流瀏覽器和防病毒程序會定期發布補丁以解決新的安全風險,因此請確保在出現提示時不要延遲更新。
- 使用安全密鑰- 符合FIDO U2F/FIDO2標準的安全密鑰可能是保護您免受網絡釣魚攻擊的最佳方式。它們會自動識別真正的域並消除手動輸入密碼的需要。
立即保護自己免受網絡釣魚
2017 年,谷歌推出了一項新要求,完全消除了對其員工的網絡釣魚攻擊。谷歌擁有大約 140,000 名員工,自 2017 年以來就沒有發生過任何網絡釣魚攻擊。這看起來像是一個後勤奇蹟,但實際上,它是通過一個簡單的調整實現的。
2017 年,所有谷歌員工都必須停止使用密碼登錄。甚至禁止使用一次性代碼。相反,每個谷歌員工都必須開始使用物理安全密鑰來訪問他們的帳戶。
谷歌發言人表示,安全密鑰現在構成了谷歌所有賬戶訪問的基礎。 “自從在谷歌實施安全密鑰以來,我們沒有報告或確認帳戶接管,”發言人說。 “出於許多不同的應用程序/原因,可能會要求用戶使用他們的安全密鑰進行身份驗證。這完全取決於應用程序的敏感性和用戶在那個時間點的風險。”
當然,這些好處和安全功能不僅適用於預算龐大的大型科技公司和組織。每個人都可以免費或以最低成本獲得反釣魚軟件,保護自己免受釣魚攻擊的危害。
在 Hideez,我們創建了一種具有成本效益的通用安全密鑰,該密鑰足夠強大和可靠,可以抵禦各種攻擊。我們的Hideez Key 4可以保護您免受網絡釣魚攻擊、MITM 攻擊、欺騙和任何其他類型的密碼相關威脅。
最重要的是,它不會傾家蕩產,因此對於小型企業和個人用戶而言,它是一種平易近人的解決方案。只需 49 美元,您就可以獲得一個完整的安全解決方案,其中包含硬件和軟件組件。這包括一個具有自動填充功能的硬件密碼管理器、一個強密碼生成器、一個支持 FIDO/U2F 標準的安全密鑰和一個RFID 密鑰卡。
了解當今環境中存在的許多網絡安全威脅,您不應該讓您的安全成為偶然。立即聯繫我們,為企業申請免費試用!
