网络钓鱼进化之路

简介:

如果你已经有了邮箱账号或社交媒体个人资料,很可能你已经遇到了某种类型的网络钓鱼。一句话解释,网络钓鱼就是通过社会工程偷盗个人信息的诈骗尝试:犯罪欺诈行为。

网络钓鱼进化之路

威瑞森最新的《数据泄露调查报告》指出:社会工程对目标用户的有效程度依然令人心惊,2016年超过30%的网络钓鱼消息都被打开了——2014年钓鱼消息打开比例仅为24%。甚至有专家称,没有任何一个地区、行业或公司可以躲过网络钓鱼。

进一步分析发现,凭证渗漏和交易秘密盗窃,依然是黑客的主要动机,而网络钓鱼的威胁正处于令人担心的上升过程。非营利组织“反网络钓鱼工作组(APWG)”的发现印证了该观点。APWG发现零售业是最常被锁定的目标,有记录的攻击就超过了40%。

AOL、盗版软件与网络钓鱼的起源

社会工程技术一直就是犯罪教科书的一部分;最早的网络钓鱼案例,发生在20多年前。90年代初期,攻击者将曾经流行的AOL平台锁定为目标,使用即时消息诱骗用户透露他们的口令。

这些攻击者锁定高价值目标的耗时不算太长,毫无戒备的受害者在“不验证账单信息就马上删除账户”的压力之下,往往很快就什么都吐露了。进一步演化,犯罪团伙不仅能获得受害者的AOL凭证,他们的银行账号和支付卡信息也不能幸免。

AOL强化了他们的反欺诈行动,实现新方法以主动删除涉嫌网络钓鱼的账户。这是决定性的一击,迫使攻击者转而搜索新的机会。

犯罪活动

网络钓鱼伴随着粗制滥造的电子邮件进入主流,这些邮件满是拼写错误、低分辨率的图片和设计问题,用户很容易就能分辨出这些所谓的“迹象”。

同时,用户也习惯于将拼写错误等同于网络钓鱼,而将拼写、语法和展示无错的网站默认为合法的。还有另一个惯性思维是,“HTTPS==100%安全”——研究人员经常发现有威胁活动使用 Let’s Encrypt 凭证(使用域名验证SSL)来灌输危险的错误安全感。

如果想了解网络钓鱼研究前沿,可以在推特上粉“恶意软件猎手团队”。该团队由@JAMESWT_MHT、@techhelplistcom和@demonslay335组成,发现并摧毁针对iCloud、PayPal和Facebook之类服务用户的恶意活动。

Wombat Security Technologies 在其开篇的《网络钓鱼状态》报告中提示了几点意见。该调查报告发布于2016年1月,发现点击率最高的网络钓鱼活动涉及的话题,都是人们在日常工作中经常遇到的那些,包括物流确认和HR文书。

有趣的是,雇员在打开以“快速致富”计划、奖励和竞赛为噱头的邮件时,反而更加谨慎。考虑到我们可以从这些报告中抽取的普世经验时,一个明显的发现就是,网络钓鱼依然是各种攻击的主催化剂。

鱼叉式网络钓鱼

过去10年里最恶名昭彰的一些网络犯罪,就拿零售连锁店、大学和银行来说吧,都是由某用户打开了一封鱼叉式网络钓鱼邮件引发的。传统网络钓鱼采用广撒网战术,寄希望于中奖似的机会,鱼叉式网络钓鱼则是高度针对性的。

技术研究公司 Vanson Bourne 将成功鱼叉式网络钓鱼攻击的平均经济影响定位在160万美元。利用收集到的信息和开源情报(OSINT)馈送,黑客为精选出来的一小部分雇员精心编制个性化的诱饵邮件。

由于鱼叉式网络钓鱼邮件如此与众不同,传统信誉和垃圾邮件过滤往往检测不出其中包含的恶意内容。鱼叉式网络钓鱼攻击还能结合进发家伪造、多态URL和偷渡式下载来规避常规防护措施。

钓鲸和CEO诈骗

钓鲸,是用来描述专门针对单一高调商业目标的网络钓鱼攻击的。CEO、部门主管和其他高管级员工,代表着公司的大鱼。

钓鲸攻击中,黑客发送的邮件都带有精心制作的托辞——往往围绕“紧急电汇”或金融交易编织而成。因此,钓鲸往往被等同于CEO诈骗和商业电子邮件入侵(BEC)骗局。

新兴技术

1. 社交媒体欺骗

2016年末,Proofpoint报道了网络罪犯冒用英国银行客户服务部门推特资料的事。这些高级黑客模仿了银行员工的命名惯例、可见资产和特殊习惯。

网络罪犯用与你真实客户支持账号相似的昵称,创建极具可信度的虚假客户服务账号。然后,他们等待客户向真实账号求助。当你的客户试图联系公司时,罪犯就会通过发自虚假支持页面的虚假客户支持链接来劫持对话。

这种别名为“安康鱼”的网络钓鱼攻击方法(注意别与Angler漏洞利用工具包搞混了),因为客户早已预期收到公司的回复,而成功率极高。在最近的《社交媒体品牌欺诈报告》中,Proofpoint发现,与10家全球品牌有关的社交媒体账号中,近20%都是虚假的。

2. 勒索软件和软定位

PhishMe的2016第1季度《恶意软件综述》发现,有记录的所有网络钓鱼邮件中,92%都含有某种加密勒索软件。到了第3季度,该数字增长到了97%。

研究人员指出,Locky继续领跑最灵活勒索软件变种家族,犯罪团伙不断精炼其构造和投放方式。软定位和广分布攻击的使用也是关键;“软定位”部署的网络钓鱼,介于钓鲸攻击和大规模网络钓鱼邮件之间。

PhishMe的报告,给读者留下了令人不安的结论:

对勒索软件的快速意识和关注,迫使攻击者转移和迭代他们的战术,无论攻击载荷还是投放方式。这一持续的韧性显示出,仅仅意识到网络钓鱼和威胁,是不够的。

3. Dropbox和 Google Drive

基于云存储服务的网络钓鱼活动,比如 Google Drive 和Dropbox,已经存在好些年了。这些在形式上通常很传统——用链接和暗示导引受害者到虚假登录页面。

最近就有人遇到过罪犯将图像伪装成Gmail里的PDF附件,但实际上就是个导引用户到谷歌账户钓鱼网站的链接。

保持安全的6条建议:

1. 避免回复可疑邮件或与发送者产生联系

2. 自己打开网站——不要点击嵌入的链接或媒体

3. 警惕含有催促或威胁意味的托辞

4. 用带外通信核实请求和信息

5. 检查浏览器以确保反网络钓鱼服务是启用的

6. 使用口令管理器;不要跨多个网站重用同样的口令

作者:nana
来源:51CTO

相关文章
|
6月前
|
监控 安全 网络安全
网络防线的构筑与维护:漏洞管理、加密技术与安全意识的协同进化
在数字时代的浪潮中,网络安全与信息安全的重要性愈发凸显。本文将探讨网络安全的薄弱环节—漏洞,并分析如何通过高效的漏洞管理来强化网络防御。同时,我们将深入了解加密技术的原理及其在保护数据安全中的应用。最后,文章强调了安全意识的核心地位,以及如何通过提升个人和组织的安全意识来构建更为坚固的网络安全防线。
|
机器学习/深度学习 人工智能 自然语言处理
菜鸟网络的 AI 进化方向:不追求“通用”的融合,重心是 AIoT
就 AI 技术而言,物流是一种很好的应用场景,但是由于“近地端”的原因,智能物流、智慧交通等 AI 技术的落地应用,并没有想象中那么简单。
2872 0
菜鸟网络的 AI 进化方向:不追求“通用”的融合,重心是 AIoT
|
30天前
|
SQL 安全 网络安全
网络安全与信息安全:知识分享####
【10月更文挑战第21天】 随着数字化时代的快速发展,网络安全和信息安全已成为个人和企业不可忽视的关键问题。本文将探讨网络安全漏洞、加密技术以及安全意识的重要性,并提供一些实用的建议,帮助读者提高自身的网络安全防护能力。 ####
67 17
|
1月前
|
存储 SQL 安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
随着互联网的普及,网络安全问题日益突出。本文将介绍网络安全的重要性,分析常见的网络安全漏洞及其危害,探讨加密技术在保障网络安全中的作用,并强调提高安全意识的必要性。通过本文的学习,读者将了解网络安全的基本概念和应对策略,提升个人和组织的网络安全防护能力。
|
1月前
|
SQL 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
随着互联网的普及,网络安全问题日益突出。本文将从网络安全漏洞、加密技术和安全意识三个方面进行探讨,旨在提高读者对网络安全的认识和防范能力。通过分析常见的网络安全漏洞,介绍加密技术的基本原理和应用,以及强调安全意识的重要性,帮助读者更好地保护自己的网络信息安全。
58 10
|
1月前
|
SQL 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
在数字化时代,网络安全和信息安全已成为我们生活中不可或缺的一部分。本文将介绍网络安全漏洞、加密技术和安全意识等方面的内容,并提供一些实用的代码示例。通过阅读本文,您将了解到如何保护自己的网络安全,以及如何提高自己的信息安全意识。
64 10
|
1月前
|
存储 监控 安全
云计算与网络安全:云服务、网络安全、信息安全等技术领域的融合与挑战
本文将探讨云计算与网络安全之间的关系,以及它们在云服务、网络安全和信息安全等技术领域中的融合与挑战。我们将分析云计算的优势和风险,以及如何通过网络安全措施来保护数据和应用程序。我们还将讨论如何确保云服务的可用性和可靠性,以及如何处理网络攻击和数据泄露等问题。最后,我们将提供一些关于如何在云计算环境中实现网络安全的建议和最佳实践。
|
1月前
|
监控 安全 网络安全
网络安全与信息安全:漏洞、加密与意识的交织
在数字时代的浪潮中,网络安全与信息安全成为维护数据完整性、保密性和可用性的关键。本文深入探讨了网络安全中的漏洞概念、加密技术的应用以及提升安全意识的重要性。通过实际案例分析,揭示了网络攻击的常见模式和防御策略,强调了教育和技术并重的安全理念。旨在为读者提供一套全面的网络安全知识框架,从而在日益复杂的网络环境中保护个人和组织的资产安全。
|
1月前
|
安全 网络安全 数据安全/隐私保护
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
在数字化时代,网络安全和信息安全已成为我们日常生活中不可或缺的一部分。本文将深入探讨网络安全漏洞、加密技术和安全意识等方面的问题,并提供一些实用的建议和解决方案。我们将通过分析网络攻击的常见形式,揭示网络安全的脆弱性,并介绍如何利用加密技术来保护数据。此外,我们还将强调提高个人和企业的安全意识的重要性,以应对日益复杂的网络威胁。无论你是普通用户还是IT专业人士,这篇文章都将为你提供有价值的见解和指导。
|
1月前
|
安全 算法 网络协议
网络安全与信息安全知识分享
本文深入探讨了网络安全漏洞、加密技术以及安全意识三个方面,旨在帮助读者更好地理解和应对网络安全威胁。通过分析常见的网络安全漏洞类型及其防范措施,详细介绍对称加密和非对称加密的原理和应用,并强调提高个人和企业安全意识的重要性,为构建更安全的网络环境提供指导。
49 2