什么是鱼叉式网络钓鱼?

一些网络钓鱼诈骗会发送给数百万人,希望其中有人会上钩,但鱼叉式网络钓鱼攻击只针对单个目标,并且非常有说服力。

学习目标

阅读本文后,您将能够:

  • 定义鱼叉式网络钓鱼
  • 解释网络钓鱼、鱼叉式网络钓鱼和捕鲸诈骗之间的区别
  • 概述预防鱼叉式网络钓鱼和捕鲸诈骗的策略

相关内容


想要继续学习吗?

订阅 TheNET,这是 Cloudflare 每月对互联网上最流行见解的总结!

参阅 Cloudflare 的隐私政策,了解我们如何收集和处理您的个人数据。

复制文章链接

什么是鱼叉式网络钓鱼?

网络钓鱼是一个广泛的术语,表示旨在欺骗受害者分享敏感信息的攻击,而鱼叉式网络钓鱼是一种针对单一目标的网络钓鱼攻击,目标可以是个人、组织或企业。

鱼叉式网络钓鱼攻击特别有效,因为攻击者可以使用有关受害者的信息(通常是在网上找到的公共信息),来制造一个令人信服的诡计。

鱼叉式网络钓鱼攻击是什么样的?

一种常见的鱼叉式网络钓鱼策略是让攻击者伪装成处于权威地位的人,因为人们更有可能对权威人物做出回应。

下面是一个示例:

Joe 是一位名叫 Mary 的首席执行官的执行助理。一天,Mary 在国外度假,Joe 收到了一封她发来的紧急电子邮件。邮件称她的行李和手机被盗。她说她没有钱或护照,需要他尽快发送她的 PayPal 凭证,以便她可以预订酒店并购买回家的航班。Joe 可能会从他的雇主那里看到这条令人痛心的信息,并立即发送所要求的信息。

这种来自上级的“我有麻烦了,需要钱”的请求是一种常见的鱼叉式网络钓鱼脚本。攻击者可能假冒 Mary 的电子邮箱,并将电子邮件发送到 Joe 的姓名和姓名首字母的数十种不同组合,以期找到正确的。攻击者还可能通过在 Twitter 上关注 Mary 了解了 Mary 的假期计划。结合所有这些工具,攻击者可以设计出一个非常有说服力的骗局。

一个值得注意的现实例子发生在 2016 年,当时攻击者冒充 Snapchat 的 CEO,并成功说服员工交出机密的工资单信息。

鱼叉式网络钓鱼攻击也可以利用来自数据泄露的信息。另一个示例:

Steve 在一家大型在线零售商处购买了一台电脑,但几周后该零售商发生了数据泄露事件。尽管信用卡号和密码等敏感数据受到哈希保护,但客户电子邮件地址和订单历史记录却被泄露。

几天后,Steve 收到他的新电脑制造商发来的一封电子邮件,宣布他购买的型号正在被召回,并提供了一个退款链接。该链接将 Steve 带到制造商网站的假冒版本,并为 Steve 提供了一张表格,让 Steve 输入他的信用卡号以进行退款。攻击者使用一些相当无害的数据来获得 Steve 的信任并诱骗他交出他的财务信息。

鱼叉式网络钓鱼和捕鲸诈骗之间有什么区别?

捕鲸诈骗是一种鱼叉式网络钓鱼攻击,以非常知名的受害者为目标,通常是公司的高管或名人。捕鲸攻击往往更加复杂,在许多情况下,攻击者会首先对较小的目标(例如“鲸鱼”的员工)进行鱼叉式网络钓鱼攻击,以获取对最终受害者的访问权限。

示例:

在度假期间,CEO Mary 收到她在 IT 团队中认识的某个人的电子邮件或电话,让她知道他们正在遭受网络攻击,并请求访问她的工作计算机和她的帐户,以确保公司数据的安全。攻击者可能会入侵她的 IT 团队以获取 Mary 的信任,以期说服她交出凭证。

如何防范鱼叉式网络钓鱼和捕鲸诈骗

由于鱼叉式网络钓鱼涉及社会工程学,因此没有万无一失的方法来防范此类攻击。然而,可以采取一些预防措施来防止和减少鱼叉式网络钓鱼的尝试。这些措施包括:

  • 切勿通过电话、聊天或电子邮件分享财务信息、密码或任何其他敏感数据。
  • 不要点击电子邮件中的链接,即使它们看起来是来自受信任的来源。复制和粘贴或手动输入 URL 有助于防止 Cross-site scripting 攻击。
  • 在所有重要帐户上启用双重身份验证,这样盗用的登录凭证就不足以登录帐户了。
  • 启用零信任安全政策,以确保入侵者无法自由访问访问。