網絡釣魚的行為是什麼（網絡釣魚的演變）

2023-09-24 04:34:46 5

為了實施有效的網絡攻擊對策，必須掌握用於執行此類攻擊的方法和策略的最新知識。本文的目的是幫助開發人員熟悉一類稱為「魚叉式網絡釣魚」和「捕鯨」的攻擊。

通過了解網絡釣魚是什麼，它的不同形式以及如何防止它，您將更容易保護您的數字資產免受網絡上最常見的網絡攻擊方法之一的侵害。

認識到誘餌

在最基本的形式中，網絡釣魚是惡意第三方企圖通過欺騙手段從毫無戒心的目標中獲取敏感信息（用戶名，密碼，社會安全號碼，信用卡詳細信息等）。

典型的網絡釣魚攻擊目標收到一封電子郵件，其中包含分享某些敏感信息的請求，例如銀行帳號。電子郵件本身經過精心設計，看起來像是來自可靠的來源，例如您的銀行。

目標心甘情願地洩露信息，此時攻擊可被視為成功，或者他們執行電子郵件請求的其他操作，例如跟蹤可疑連結或打開未知文件。在執行操作時，目標要麼被一些惡意代碼（如病毒）感染，要麼被帶到在後臺提取其信息的網站。網絡釣魚是如何演變的

網絡釣魚攻擊曾經大規模地進行，攻擊者同時使用相同類型的電子郵件瞄準大量人群，希望有人會採取誘餌（因此得名）。然而，一旦公眾意識到網絡釣魚詐騙，反網絡釣魚措施就變得越來越普遍。儘管如此，黑客並沒有放棄。因此，另外兩種進化形式的網絡釣魚變得突出 - 魚叉網絡釣魚和捕鯨。

魚叉式網絡釣魚

魚叉式網絡釣魚是指網絡釣魚攻擊，可以使欺騙性電子郵件看起來更加可信，並提高其成功的可能性。為了實現這一目標，攻擊者將嘗試在目標上收集儘可能多的信息。通常，組織內的特定個人具有某些安全漏洞。

2016年對美國民主黨全國委員會的網絡攻擊是一個眾所周知的魚叉式網絡釣魚案例。被稱為Cozy Bear的俄羅斯黑客集體使用長矛網絡釣魚來定位與希拉蕊柯林頓2016年總統競選活動相關的電子郵件帳戶。但是還有另外一種網絡釣魚，那些使用它的人只會在大魚身上祈禱。

捕鯨

捕鯨是另一種進化形式的魚叉式網絡釣魚。它指的是針對高級管理人員和組織內其他高級人員的網絡釣魚攻擊。通過使電子郵件內容具有個性化並專門針對相關目標進行定製來定義此類攻擊。

2016年，美泰公司的一位財務主管參與了一起備受矚目的捕鯨案。有問題的高管被欺騙，通過聽起來合理的電子郵件請求將300萬美元轉移給中國的假冒供應商。那麼，我們可以對這些類型的攻擊做些什麼呢？

預防措施

網絡釣魚是社會工程的一種形式，因此，它依賴於人類行動者的顛覆才能獲得成功。因此，打擊網絡釣魚及其變體的最佳策略是提高組織內的安全意識。鼓勵您的團隊成員觀看免費的安全意識視頻，為他們提供安全設備，並在所有部門實施安全控制和相關技術對策。

技術對策瀏覽器警報。Chrome，Firefox或Safari等Web瀏覽器可以訪問已知網絡釣魚網站的列表，如果用戶無意中點擊了指向他們的連結，他們會發出警告。專門垃圾郵件過濾器。使用這些內容的電子郵件客戶端可以減少對收件箱進行的網絡釣魚電子郵件的數量，或者提供郵件發送後的電子郵件去汙。增強登錄。有些網站使用難以通過網絡釣魚網站進行複製的高級用戶驗證形式，從而降低了用戶被欺騙網站欺騙的可能性。謹慎行事

網絡釣魚攻擊在網絡上很常見，而且每年都會越來越複雜。但是，有了正確的對策，特別是那些解決人為因素的對策，就可以保證組織的安全和受到保護。