如何識別網絡釣魚攻擊的八種類型？

Fahmida Y. Rashid

你是否可以將魚叉式網絡釣魚和語音釣魚與鯨釣攻擊和克隆釣魚區別開來？本文解釋了如何識別每一種類型的威脅。

每次數據泄露和在線攻擊似乎都涉及某種網絡釣魚，這類攻擊企圖竊取密碼登錄信息、發起欺詐性交易或者誘使人們下載惡意軟件。的確，Verizon發布的《2020年數據泄露調查報告》發現，網絡釣魚是與泄露有關的頭號威脅活動。

企業經常提醒用戶留意網絡釣魚攻擊，但是許多用戶并不真正知道如何識別它們。而人類又往往不善于識別騙局。

據Proofpoint的《2020年網絡釣魚狀態報告》顯示，美國65%的企業組織在2019年遭遇了得逞的網絡釣魚攻擊。這既表明了攻擊者很高明，又表明了需要同樣很高明的安全意識培訓。還有這一點：并非所有的網絡釣魚騙局都以相同的方式運作――有些是普通的電子郵件轟炸，另一些則經過精心設計，以攻擊特定類型的人群，要培訓用戶知道郵件何時很可疑比較困難。

不妨看一下網絡釣魚攻擊的不同類型以及如何識別它們。

網絡釣魚：群發電子郵件

最常見的網絡釣魚形式是普通的群發郵件，即有人發送一封冒充他人的電子郵件，試圖誘騙收件人執行某種操作，通常是登錄網站或下載惡意軟件。攻擊通常依賴電子郵件進行，即偽造電子郵件標題（發件人字段），好讓郵件看起來像是由可信任的發件人發送的。

然而，網絡釣魚攻擊并不總是看起來像是UPS投遞通知電子郵件、PayPal關于密碼將過期的警告消息或關于存儲配額的Office 365電子郵件。一些攻擊是專門針對組織和個人而設計的，另一些攻擊則依賴電子郵件之外的方法。

魚叉式網絡釣魚：攻擊特定目標

網絡釣魚攻擊因此而得名：騙子們通過使用欺騙性或欺詐性的電子郵件作為誘餌來釣魚，尋找隨機的受害者。魚叉式網絡釣魚攻擊用釣魚來比喻，因為攻擊者專門針對高價值的受害者和企業組織下手。攻擊者可能覺得攻擊少數幾家公司企業更有利可圖，而不是試圖搞到1000個消費者的銀行登錄信息。有政府撐腰的攻擊者可能盯上為其他國家的政府機構效力的雇員或政府官員，以竊取國家機密。

魚叉式網絡釣魚攻擊的成功率極高，因為攻擊者花大量時間來制作專門針對收件人的信息，比如介紹收件人可能剛出席的會議或發送惡意附件，其中文件名提到了收件人感興趣的主題。

在2017年的一次網絡釣魚活動中，Group 74（又名Sofact、APT28或Fancy Bear）利用一封佯稱與美國網絡沖突會議有關的電子郵件攻擊了網絡安全專業人員，該會議由美國西點軍校陸軍網絡學院、北約組織協作網絡軍事學院和北約組織協作網絡防御卓越中心共同組織。雖然確實有CyCon這個會議，但附件實際上是一個含有惡意Visual Basic for Applications（VBA）宏指令的文檔，該宏指令會下載并執行名為Seduploader的偵察惡意軟件。

鯨釣攻擊：追逐大目標

不同的受害者，不同的發薪日。專門針對企業高管的網絡釣魚攻擊名為鯨釣攻擊，因為受害者被認為具有高價值，而且被盜的信息將比普通員工提供的信息更有價值。相比入門級員工，屬于首席執行官的賬戶登錄信息會打開更多的大門。目標是竊取數據、員工信息和現金。

鯨釣攻擊還需要更深入地研究，因為攻擊者需要知道目標受害者與誰聯系、他們在進行哪種討論。例子包括提到客戶投訴、法律傳票，或甚至公司管理層中的問題。攻擊者通常先采用社會工程學伎倆，以收集有關受害者和公司的信息，然后設計將用于鯨釣攻擊的網絡釣魚消息。

如商業電子郵件入侵（BEC）：冒充首席執行官。

除了普通的群發網絡釣魚活動外，犯罪分子還通過商業電子郵件入侵（BEC）欺詐和首席執行官郵件欺詐來攻擊財務和會計部門的關鍵人員。這些犯罪分子通過冒充財務人員和首席執行官，企圖誘騙受害者將資金轉入到未經授權的賬戶。

攻擊者通常通過利用現有感染或通過魚叉式網絡釣魚攻擊，入侵公司高管或財務人員的電子郵件賬戶。攻擊者潛伏下來，對高管的郵件活動監視一段時間，以摸透該公司內部的流程和程序。實際的攻擊采取虛假郵件的形式，虛假郵件看起來像是從中招高管的賬戶發送給常規收件人的郵件。郵件似乎很重要很緊迫，要求收件人立馬電匯到外部或陌生的銀行賬戶。這筆錢最終進入到攻擊者的銀行賬戶。

據反網絡釣魚工作組的《2020年第二季度網絡釣魚活動趨勢報告》顯示，“商業電子郵件入侵（BEC）攻擊導致的電匯損失平均額在增加：2020年第二季度企圖電匯的平均額為80183美元。”

克隆釣魚：當副本同樣管用時

克隆釣魚要求攻擊者創建與合法郵件幾乎一模一樣的副本，以誘騙受害者信以為真。電子郵件是從類似合法發件人的地址發送的，郵件正文與上一封郵件相同。唯一的區別是附件或郵件中的鏈接被換成了惡意附件或鏈接。攻擊者可能會以需要重新發送原始或更新版的內容為借口，解釋受害人為何再次收到“同樣”的郵件。

這種攻擊基于先前看到的合法郵件，從而使用戶更有可能上當、受到攻擊。已經感染了一個用戶的攻擊者可以對同樣收到克隆郵件的另一人運用這種手法。另一種形式是，攻擊者可能創建一個附有欺騙性域名的克隆網站，以欺騙受害者。

語音釣魚：通過電話進行網絡釣魚

語音釣魚需要使用電話。受害者通常接到電話，語音消息偽裝成了金融機構發來的信息。比如說，消息可能要求收件人撥打號碼，并輸入他們的賬戶信息或PIN（出于安全或其他官方目的）。但是，電話號碼通過IP語音服務直接撥入到攻擊者。

在2019年一次狡猾的語音釣魚騙局中，犯罪分子打電話給受害者，冒充是蘋果技術支持人員，向用戶提供了一個解決“安全問題”的電話號碼。就像老套的Windows技術支持騙局一樣，這個騙局正是利用了用戶擔心設備被黑的心理。

短信釣魚：通過短信進行的網絡釣魚

短信釣魚是“網絡釣魚”和“短信”的混合詞，短信（SMS）是大多數電話短信服務所使用的協議。這種網絡攻擊使用誤導性的短信來欺騙受害者。目的是誘騙人們以為信息是可信任的人或組織發來的，然后說服你采取行動，讓攻擊者可以獲得可利用的信息（比如銀行賬戶登錄信息）或訪問你的移動設備。

由于人們閱讀和回復短信的可能性比電子郵件高，因此短信釣魚日益猖獗：人們閱讀98%的短信和回復45%的短信，而閱讀郵件和回復郵件的比例分別只有20%和6%。而用戶對于計算機上的可疑消息不像對于電話上的可疑消息那么留意，而個人設備通常缺少公司PC采用的那種安全技術。

雪鞋攻擊：傳播毒害信息

雪鞋攻擊即“打了就跑”的垃圾郵件要求攻擊者通過多個域和IP地址發送郵件。每個IP地址發送少量郵件，因此基于信譽或數量的垃圾郵件過濾技術無法立即識別和阻止惡意郵件。過濾系統還未來得及阻止，一些郵件就進入到了電子郵件收件箱。

冰雹活動與雪靴攻擊的原理大致一樣，只不過郵件在極短的時間內發送出去。就在反垃圾郵件工具反應過來并更新過濾系統以阻止將來的郵件時，一些冰雹攻擊已結束了，而攻擊者已經將目光轉向了下一次活動。

學會識別不同類型的網絡釣魚

用戶不善于了解受到網絡釣魚攻擊帶來的影響。精明的用戶也許能夠評估點擊電子郵件中鏈接的風險，因為這可能導致惡意軟件下載或后續的詐騙郵件索要錢財。然而，天真的用戶可能認為什么都不會發生，或者到頭來會收到垃圾郵件廣告和彈出窗口。只有最精明的用戶才能估計登錄信息竊取和賬戶泄露可能造成的危害。這種風險評估上的缺口使用戶更難明白識別惡意郵件的嚴重性。

企業組織需要考慮現有的內部意識運動，并確保為員工提供識別不同類型攻擊的工具。企業組織還需要加強安全防護，因為垃圾郵件過濾系統等一些傳統的電子郵件安全工具不足以防范一些類型的網絡釣魚攻擊。

。

原文網址

https：//www.csoonline.com/article/3234716/8-types-of-phishing-attacks-and-how-to-identify-them.html