信息化觀察網(wǎng)

導(dǎo)語(yǔ)

你是否可以將魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)和語(yǔ)音釣魚(yú)與鯨釣攻擊和克隆釣魚(yú)區(qū)別開(kāi)來(lái)？本文解釋了如何識(shí)別每一種類(lèi)型的威脅。

每次數(shù)據(jù)泄露和在線攻擊似乎都涉及某種網(wǎng)絡(luò)釣魚(yú)，這類(lèi)攻擊企圖竊取密碼登錄信息、發(fā)起欺詐性交易或者誘使人們下載惡意軟件。的確，Verizon發(fā)布的《2020年數(shù)據(jù)泄露調(diào)查報(bào)告》發(fā)現(xiàn)，網(wǎng)絡(luò)釣魚(yú)是與泄露有關(guān)的頭號(hào)威脅活動(dòng)。

企業(yè)經(jīng)常提醒用戶留意網(wǎng)絡(luò)釣魚(yú)攻擊，但是許多用戶并不真正知道如何識(shí)別它們。而人類(lèi)又往往不善于識(shí)別騙局。

據(jù)Proofpoint的《2020年網(wǎng)絡(luò)釣魚(yú)狀態(tài)報(bào)告》顯示，美國(guó)65%的企業(yè)組織在2019年遭遇了得逞的網(wǎng)絡(luò)釣魚(yú)攻擊。這既表明了攻擊者很高明，又表明了需要同樣很高明的安全意識(shí)培訓(xùn)。還有這一點(diǎn)：并非所有的網(wǎng)絡(luò)釣魚(yú)騙局都以相同的方式運(yùn)作――有些是普通的電子郵件轟炸，另一些則經(jīng)過(guò)精心設(shè)計(jì)，以攻擊特定類(lèi)型的人群，要培訓(xùn)用戶知道郵件何時(shí)很可疑比較困難。

不妨看一下網(wǎng)絡(luò)釣魚(yú)攻擊的不同類(lèi)型以及如何識(shí)別它們。

網(wǎng)絡(luò)釣魚(yú)：群發(fā)電子郵件

最常見(jiàn)的網(wǎng)絡(luò)釣魚(yú)形式是普通的群發(fā)郵件，即有人發(fā)送一封冒充他人的電子郵件，試圖誘騙收件人執(zhí)行某種操作，通常是登錄網(wǎng)站或下載惡意軟件。攻擊通常依賴(lài)電子郵件進(jìn)行，即偽造電子郵件標(biāo)題（發(fā)件人字段），好讓郵件看起來(lái)像是由可信任的發(fā)件人發(fā)送的。

然而，網(wǎng)絡(luò)釣魚(yú)攻擊并不總是看起來(lái)像是UPS投遞通知電子郵件、PayPal關(guān)于密碼將過(guò)期的警告消息或關(guān)于存儲(chǔ)配額的Office 365電子郵件。一些攻擊是專(zhuān)門(mén)針對(duì)組織和個(gè)人而設(shè)計(jì)的，另一些攻擊則依賴(lài)電子郵件之外的方法。

魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)：攻擊特定目標(biāo)

網(wǎng)絡(luò)釣魚(yú)攻擊因此而得名：騙子們通過(guò)使用欺騙性或欺詐性的電子郵件作為誘餌來(lái)釣魚(yú)，尋找隨機(jī)的受害者。魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊用釣魚(yú)來(lái)比喻，因?yàn)楣粽邔?zhuān)門(mén)針對(duì)高價(jià)值的受害者和企業(yè)組織下手。攻擊者可能覺(jué)得攻擊少數(shù)幾家公司企業(yè)更有利可圖，而不是試圖搞到1000個(gè)消費(fèi)者的銀行登錄信息。有政府撐腰的攻擊者可能盯上為其他國(guó)家的政府機(jī)構(gòu)效力的雇員或政府官員，以竊取國(guó)家機(jī)密。

魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊的成功率極高，因?yàn)楣粽呋ù罅繒r(shí)間來(lái)制作專(zhuān)門(mén)針對(duì)收件人的信息，比如介紹收件人可能剛出席的會(huì)議或發(fā)送惡意附件，其中文件名提到了收件人感興趣的主題。

在2017年的一次網(wǎng)絡(luò)釣魚(yú)活動(dòng)中，Group 74（又名Sofact、APT28或Fancy Bear）利用一封佯稱(chēng)與美國(guó)網(wǎng)絡(luò)沖突會(huì)議有關(guān)的電子郵件攻擊了網(wǎng)絡(luò)安全專(zhuān)業(yè)人員，該會(huì)議由美國(guó)西點(diǎn)軍校陸軍網(wǎng)絡(luò)學(xué)院、北約組織協(xié)作網(wǎng)絡(luò)軍事學(xué)院和北約組織協(xié)作網(wǎng)絡(luò)防御卓越中心共同組織。雖然確實(shí)有CyCon這個(gè)會(huì)議，但附件實(shí)際上是一個(gè)含有惡意Visual Basic for Applications（VBA）宏指令的文檔，該宏指令會(huì)下載并執(zhí)行名為Seduploader的偵察惡意軟件。

鯨釣攻擊：追逐大目標(biāo)

不同的受害者，不同的發(fā)薪日。專(zhuān)門(mén)針對(duì)企業(yè)高管的網(wǎng)絡(luò)釣魚(yú)攻擊名為鯨釣攻擊，因?yàn)槭芎φ弑徽J(rèn)為具有高價(jià)值，而且被盜的信息將比普通員工提供的信息更有價(jià)值。相比入門(mén)級(jí)員工，屬于首席執(zhí)行官的賬戶登錄信息會(huì)打開(kāi)更多的大門(mén)。目標(biāo)是竊取數(shù)據(jù)、員工信息和現(xiàn)金。

鯨釣攻擊還需要更深入地研究，因?yàn)楣粽咝枰滥繕?biāo)受害者與誰(shuí)聯(lián)系、他們?cè)谶M(jìn)行哪種討論。例子包括提到客戶投訴、法律傳票，或甚至公司管理層中的問(wèn)題。攻擊者通常先采用社會(huì)工程學(xué)伎倆，以收集有關(guān)受害者和公司的信息，然后設(shè)計(jì)將用于鯨釣攻擊的網(wǎng)絡(luò)釣魚(yú)消息。

商業(yè)電子郵件入侵（BEC）：

冒充首席執(zhí)行官

除了普通的群發(fā)網(wǎng)絡(luò)釣魚(yú)活動(dòng)外，犯罪分子還通過(guò)商業(yè)電子郵件入侵（BEC）欺詐和首席執(zhí)行官郵件欺詐來(lái)攻擊財(cái)務(wù)和會(huì)計(jì)部門(mén)的關(guān)鍵人員。這些犯罪分子通過(guò)冒充財(cái)務(wù)人員和首席執(zhí)行官，企圖誘騙受害者將資金轉(zhuǎn)入到未經(jīng)授權(quán)的賬戶。

攻擊者通常通過(guò)利用現(xiàn)有感染或通過(guò)魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊，入侵公司高管或財(cái)務(wù)人員的電子郵件賬戶。攻擊者潛伏下來(lái)，對(duì)高管的郵件活動(dòng)監(jiān)視一段時(shí)間，以摸透該公司內(nèi)部的流程和程序。實(shí)際的攻擊采取虛假郵件的形式，虛假郵件看起來(lái)像是從中招高管的賬戶發(fā)送給常規(guī)收件人的郵件。郵件似乎很重要很緊迫，要求收件人立馬電匯到外部或陌生的銀行賬戶。這筆錢(qián)最終進(jìn)入到攻擊者的銀行賬戶。

據(jù)反網(wǎng)絡(luò)釣魚(yú)工作組的《2020年第二季度網(wǎng)絡(luò)釣魚(yú)活動(dòng)趨勢(shì)報(bào)告》顯示，“商業(yè)電子郵件入侵（BEC）攻擊導(dǎo)致的電匯損失平均額在增加：2020年第二季度企圖電匯的平均額為80183美元。”

克隆釣魚(yú)：當(dāng)副本同樣管用時(shí)

克隆釣魚(yú)要求攻擊者創(chuàng)建與合法郵件幾乎一模一樣的副本，以誘騙受害者信以為真。電子郵件是從類(lèi)似合法發(fā)件人的地址發(fā)送的，郵件正文與上一封郵件相同。唯一的區(qū)別是附件或郵件中的鏈接被換成了惡意附件或鏈接。攻擊者可能會(huì)以需要重新發(fā)送原始或更新版的內(nèi)容為借口，解釋受害人為何再次收到“同樣”的郵件。

這種攻擊基于先前看到的合法郵件，從而使用戶更有可能上當(dāng)、受到攻擊。已經(jīng)感染了一個(gè)用戶的攻擊者可以對(duì)同樣收到克隆郵件的另一人運(yùn)用這種手法。另一種形式是，攻擊者可能創(chuàng)建一個(gè)附有欺騙性域名的克隆網(wǎng)站，以欺騙受害者。

語(yǔ)音釣魚(yú)：通過(guò)電話進(jìn)行網(wǎng)絡(luò)釣魚(yú)

語(yǔ)音釣魚(yú)需要使用電話。受害者通常接到電話，語(yǔ)音消息偽裝成了金融機(jī)構(gòu)發(fā)來(lái)的信息。比如說(shuō)，消息可能要求收件人撥打號(hào)碼，并輸入他們的賬戶信息或PIN（出于安全或其他官方目的）。但是，電話號(hào)碼通過(guò)IP語(yǔ)音服務(wù)直接撥入到攻擊者。

在2019年一次狡猾的語(yǔ)音釣魚(yú)騙局中，犯罪分子打電話給受害者，冒充是蘋(píng)果技術(shù)支持人員，向用戶提供了一個(gè)解決“安全問(wèn)題”的電話號(hào)碼。就像老套的Windows技術(shù)支持騙局一樣，這個(gè)騙局正是利用了用戶擔(dān)心設(shè)備被黑的心理。

短信釣魚(yú)：通過(guò)短信進(jìn)行的網(wǎng)絡(luò)釣魚(yú)

短信釣魚(yú)是“網(wǎng)絡(luò)釣魚(yú)”和“短信”的混合詞，短信（SMS）是大多數(shù)電話短信服務(wù)所使用的協(xié)議。這種網(wǎng)絡(luò)攻擊使用誤導(dǎo)性的短信來(lái)欺騙受害者。目的是誘騙人們以為信息是可信任的人或組織發(fā)來(lái)的，然后說(shuō)服你采取行動(dòng)，讓攻擊者可以獲得可利用的信息（比如銀行賬戶登錄信息）或訪問(wèn)你的移動(dòng)設(shè)備。

由于人們閱讀和回復(fù)短信的可能性比電子郵件高，因此短信釣魚(yú)日益猖獗：人們閱讀98%的短信和回復(fù)45%的短信，而閱讀郵件和回復(fù)郵件的比例分別只有20%和6%。而用戶對(duì)于計(jì)算機(jī)上的可疑消息不像對(duì)于電話上的可疑消息那么留意，而個(gè)人設(shè)備通常缺少公司PC采用的那種安全技術(shù)。

雪鞋攻擊：傳播毒害信息

雪鞋攻擊即“打了就跑”的垃圾郵件要求攻擊者通過(guò)多個(gè)域和IP地址發(fā)送郵件。每個(gè)IP地址發(fā)送少量郵件，因此基于信譽(yù)或數(shù)量的垃圾郵件過(guò)濾技術(shù)無(wú)法立即識(shí)別和阻止惡意郵件。過(guò)濾系統(tǒng)還未來(lái)得及阻止，一些郵件就進(jìn)入到了電子郵件收件箱。

冰雹活動(dòng)與雪靴攻擊的原理大致一樣，只不過(guò)郵件在極短的時(shí)間內(nèi)發(fā)送出去。就在反垃圾郵件工具反應(yīng)過(guò)來(lái)并更新過(guò)濾系統(tǒng)以阻止將來(lái)的郵件時(shí)，一些冰雹攻擊已結(jié)束了，而攻擊者已經(jīng)將目光轉(zhuǎn)向了下一次活動(dòng)。

學(xué)會(huì)識(shí)別不同類(lèi)型的網(wǎng)絡(luò)釣魚(yú)

用戶不善于了解受到網(wǎng)絡(luò)釣魚(yú)攻擊帶來(lái)的影響。精明的用戶也許能夠評(píng)估點(diǎn)擊電子郵件中鏈接的風(fēng)險(xiǎn)，因?yàn)檫@可能導(dǎo)致惡意軟件下載或后續(xù)的詐騙郵件索要錢(qián)財(cái)。然而，天真的用戶可能認(rèn)為什么都不會(huì)發(fā)生，或者到頭來(lái)會(huì)收到垃圾郵件廣告和彈出窗口。只有最精明的用戶才能估計(jì)登錄信息竊取和賬戶泄露可能造成的危害。這種風(fēng)險(xiǎn)評(píng)估上的缺口使用戶更難明白識(shí)別惡意郵件的嚴(yán)重性。

企業(yè)組織需要考慮現(xiàn)有的內(nèi)部意識(shí)運(yùn)動(dòng)，并確保為員工提供識(shí)別不同類(lèi)型攻擊的工具。企業(yè)組織還需要加強(qiáng)安全防護(hù)，因?yàn)槔]件過(guò)濾系統(tǒng)等一些傳統(tǒng)的電子郵件安全工具不足以防范一些類(lèi)型的網(wǎng)絡(luò)釣魚(yú)攻擊。

作者：本文作者Fahmida Y.Rashid是一位自由撰稿人，他為《CSO》撰稿，主要關(guān)注信息安全。

編譯：沈建苗

原文網(wǎng)址：https://www.csoonline.com/article/3234716/8-types-of-phishing-attacks-and-how-to-identify-them.html