网络钓鱼19式
2022-11-27 09:13:20 Author: 黑白之道(查看原文) 阅读量:21 收藏

根据思科《2021年网络安全威胁趋势报告》指出,网络钓鱼攻击占所有数据泄露的90%以上,远远超过恶意软件和勒索软件攻击,每年影响数百万用户。网络钓鱼攻击的主要问题是,用户和组织在识别它们方面缺乏认知和培训。即便有最新的安全协议和软件护航,如果缺乏适当的安全意识培训,也不可能完全免受网络威胁。

随着技术的进步,黑客和网络犯罪分子将不断开发新的网络钓鱼技术来窃取敏感数据。为了保护自身最大限度地避免网络钓鱼攻击,请遵循本指南,了解目前使用的最常见的网络钓鱼攻击类型。

最常见的网络钓鱼攻击类型及识别方式:

        1. 电子邮件网络钓鱼

钓鱼电子邮件是最古老和最常用的钓鱼攻击类型之一。大多数尝试都通过伪装成值得信赖的发件人来锁定目标。更专业的攻击者甚至会从合法公司复制完全相同的电子邮件格式,并包含恶意链接、文档或图像文件,以欺骗用户“确认”其个人信息或自动下载恶意代码。

识别方法:

索取个人信息——合法公司绝不会通过电子邮件索取您的个人信息;

紧急问题——许多骗子会用紧急通知来掩饰其网络钓鱼企图,例如账户被破坏、付款失败、登录验证或版权侵犯。记住,不要点击任何链接,直接去网站检查;

缩短链接——缩短或压缩链接是屏蔽恶意url的方法。像Bitly或TinyURL这样的服务可以隐藏链接将带你去的实际网址;

无域电子邮件地址——欺诈电子邮件地址通常使用第三方提供商或合法电子邮件域名的变体(例如@upguardnow.com而不是@upguard.com)。记住再三确认发件人的电子邮件地址,以确保它与用户或公司的名称相匹配;

拼写和语法错误——电子邮件中的任何拼写错误或语法问题都应该触发红色警报;

任何文件附件——除非对源代码进行了验证,否则一条有效的经验法则是永远不要打开任何附件,尤其是包含.exe、.zip和.scr扩展名的附件;

单张或空白图片——如果该邮件是电子邮件的截屏或空白框,但没有真正的文本,请不要点击图片。恶意软件代码可能被绑定到图像上,可以触发自动下载。

        2. 鱼叉式网络钓鱼

鱼叉式网络钓鱼(Spear Phishing)是一种更具针对性的电子邮件网络钓鱼方法,目标主要为

特定个人和组织。利用开源情报(OSINT),犯罪分子可以收集公开的信息,并针对整个企业或子部门。由于可以接触到个人信息,他们可能会欺骗用户,让他们相信邮件是内部通信或来自一个值得信任的来源。

识别方法:

不寻常的请求——如果请求来自公司内部,要求获得高出其级别的权限,请直接通过另一种沟通渠道联系该人确认。在电子邮件被黑的情况下,使用直接通讯的方法也会有帮助;

到共享驱动器的链接——如果骗子假装来自内部或其他值得信任的来源,就没有必要共享一个您应该有权访问的驱动器的链接。该链接很可能已经损坏,可以将您重定向到一个假网站;

未经请求的电子邮件——如果电子邮件在未经请求的情况下提供了一个“重要文件”供下载和查看,那么它可能是一个虚假的电子邮件。在打开之前一定要验证发件人;

具体提及个人信息——骗子可能会试图通过提供关于您的其他非必要信息,来证明自己是一个值得信赖的信息来源。应该对明显试图获取您信任的行为存疑;

        3. 鲸钓

鲸钓(Whaling)是一种进化形式的鱼叉式网络钓鱼,针对的主要是高级管理人员和组织内其他特定人员,也被称为“CEO欺诈”。这种攻击类型通常要复杂得多,依赖于OSINT、对公司商业行为和社交媒体账户有非常深入的研究,因为攻击者需要知道目标受害者与谁通信以及了解他们在讨论的话题。

识别方法:

不正确的域名地址——除非邮件被黑,否则骗子会试图使用类似但不正确的域名地址(例如@upgaurd.Con而不是@upguard.com)。在查看电子邮件通信时,保持谨慎是很重要的;

使用私人电子邮件——任何来自其他高管或业务伙伴的沟通都应该通过工作电子邮件进行,而绝不应该通过私人电子邮件。即使这个人在工作之外寻求帮助,也要通过另一个离线渠道直接与他们沟通,以核实他们的身份;

新的联系请求——如果您从合作伙伴或供应商那里收到一封电子邮件,而他们从未跟您谈过生意,这可能意味着钓鱼企图。建议通过适当的渠道与该帐户的个人核实沟通。

        4. 商业电子邮件欺诈

商业电子邮件欺诈(BEC)类似于鲸钓,但它并非试图欺骗高管,而是冒充他们。犯罪分子会冒充或获取具有决策权的高管电子邮件账户,然后向较低级别员工发送内部请求。

识别方法:

紧迫感——大型交易和重要的商业交易通常需要时间,在完成之前要经过很多人的审查。如果这封邮件听起来特别紧急,而且收件人不超过2到3个人,就应该提高警惕;

不寻常的行为——复杂的BEC欺诈者会尽量让自己听起来更专业,但也可能会注意到语调或个性的差异。如果一位高管说话或写作方式与平时不同,请密切关注钓鱼攻击的其他迹象;

没有法律信函——所有的商业交易都应该有一个法律团队或律师来确保合法性。如果邮件中没有律师,就通过公司的指挥链找到正确的一方,以验证邮件的合法性。

        5. 语音网络钓鱼

语音网络钓鱼(Vishing)是指骗子使用电话、手机、网络通信工具等发送经过伪装的语音信息,从而进行网络钓鱼。新的复杂技术使犯罪分子可以欺骗来电显示,伪装成来自可靠来源。通常,打电话的人会制造一种紧迫感,以显示自身的权威,干扰接收者清晰地思考。一些常用的vishing攻击策略包括:

家庭成员有困难,需要金钱帮助;

美国国税局需要您的社会安全号码(SSN)来确认纳税申报表;

支付一小笔费用,兑换您没有注册的假奖品或假假期;

已经发出了对您的逮捕令;

车辆获得延长保修期资格;

您的银行账户有可疑活动;

向您保证投资机会的回报;

一大笔需要偿还的债务;

识别方法:

被屏蔽或未识别的号码——网络钓鱼电话往往来自被屏蔽的号码。如果接电话时对方听起来可疑,请立即挂断;

索要敏感信息或金钱——政府机构总是通过官方邮件进行业务往来,绝不会通过电话索要您的个人信息。

        6. HTTPS钓鱼

HTTPS(超文本传输协议安全)网络钓鱼是一种基于url的攻击,试图欺骗用户点击一个看似安全的链接。HTTPS是浏览器和网站之间流量加密的标准协议,需要启用TSL/SSL证书。在过去,浏览器可以检测到没有启用HTTPS的网站,这是防止网络犯罪的第一道防线。

然而,黑客现在可以免费获得这些证书,并在他们的钓鱼网站上添加HTTPS,这使得区分哪些是安全的,哪些是不安全的变得更加困难。

识别方法:

短网址——短链接可以隐藏链接的真实地址,是骗子隐藏网络钓鱼企图的好方法。链接应该是他们的原始格式,以便您可以验证其来源;

超链接文本——带有可点击链接的文本也会将您引向恶意网站。确保将鼠标悬停在链接上(不单击它)以查看源URL;

URL拼写错误——电子邮件域中的任何拼写错误都是电子邮件是伪造的直接迹象。

        7. 克隆钓鱼

克隆网络钓鱼不是发送虚假邮件,而是通过创建于真实合法消息的几乎相同的副本,以误导受害者的一种攻击方式。电子邮件是从类似于合法发件人的地址发送的,并且邮件的主体看起来与先前的邮件相同。唯一的区别是邮件中的附件或链接已被恶意邮件换出。攻击者可能有一些说明,解释必须重新发送或更新内容的原因,以使受害人”理解“为何再次收到“相同”消息。

该攻击基于先前看到的合法消息,从而使用户更有可能遭受攻击。已经感染了一个用户的攻击者可以对另一个也接收到正在克隆的邮件的人使用此技术。在另一个变体中,攻击者可能会创建一个具有欺骗性域名的克隆网站,以欺骗受害者。

识别方法:

重复邮件——识别复制网络钓鱼的最好方法是检查您最近的邮件。如果出现了重复的链接,在最近的邮件中寻找任何可能是网络钓鱼迹象的新链接。总是验证正确的链接,并将其与之前的电子邮件通信进行比较;

电子邮件地址拼写错误——虽然是小错误,但假的电子邮件通常都有一个不太明显的小错误;

超链接文本——当鼠标悬停在链接上时,浏览器会在屏幕左下方显示真实地址。如果URL与链接的文本不匹配,就可能是钓鱼的迹象。

        8. 短信钓鱼

短信钓鱼(Smishing),类似于语音钓鱼,但骗子并不会打电话,而是发送带有链接或附件的SMS文本信息。由于个人电话号码一般不太容易向公众公开,所以人们往往更相信短信。据统计,98%的短信被阅读以及45%被回复,而电子邮件的同类数字分别为20%和6%。然而,在如今的智能手机中,黑客也很容易通过短信url窃取个人数据。

识别方法:

不请自来的短信——除非您直接注册了短信提醒,否则提供免费优惠券或您没有使用的产品的交易记录的短信都是明显的网络钓鱼的迹象。其他策略可能要求您确认帐户信息、检查订单状态或验证医疗信息;

未知数字——通过短信收到验证码或信息请求是一个危险信号。使用免费的号码查询服务,看看是否可以获得更多关于短信来源的信息,或者联系相关人员以获得验证。一个有用的经验法则:不要点击文本中提供的链接,不要参与其中。

身份验证请求——如果您收到未经授权的身份验证请求,则可能有人试图访问您的某个帐户。如果您收到这些短信,应该立即更改密码,以防止进一步访问。

        9. 弹出网络钓鱼(Pop-Up Phishing)

尽管大多数人的浏览器上都安装了广告或弹出窗口拦截器,但黑客仍然可以在网站上嵌入恶意软件。它们可能出现在通知框中,或者看起来像网页上的合法广告。任何点击这些弹出窗口或广告的人都会感染恶意软件。

识别方法:

浏览器通知——许多浏览器(包括Chrome和Safari)会在用户访问新网站时,提示用户选择“允许”或“拒绝”通知。浏览器不会过滤掉垃圾邮件通知,所以如果用户不小心点击了“允许”,恶意代码就会自动下载;

新选项卡或窗口——没有弹出拦截器的网页浏览可能是危险的,特别是对于移动设备而言。访问某些网站会触发一个新的选项卡或窗口打开,其中包含下载恶意软件的链接;

紧急消息——弹出窗口声称您需要更新防病毒软件或更新订阅是明显的钓鱼标志。您应该选择在主站解决任何更新、支付,或帐户问题,而不是通过一个无关的弹出网站。

        10. 社交媒体网络钓鱼

除了电子邮件外,社交媒体也已成为网络钓鱼攻击的流行攻击载体。由于社交媒体展示了非常多的个人信息,攻击者可以很容易地使用社交工程攻击来访问敏感数据。全球数十亿人使用Facebook、Instagram、Snapchat和LinkedIn等平台进行社交,这也增加了网络钓鱼的风险。

这些攻击通常包含一个链接,可以将您发送到恶意网站,以窃取重要信息。在某些情况下,骗子会和您成为朋友,假装有麻烦,试图从您那里偷钱。最常用的策略包括:

优惠或网上折扣;

调查或竞赛;

好友请求;

虚假视频;

视频或照片的评论;

识别方法:

可疑链接——即便您从朋友那里收到了一个链接,也有可能是他们的账户被黑了。如果链接包含拼写错误或包含数字、字母和符号的随机组合,那么最好忽略该链接;

可疑账户——如果您收到来自未知个人的消息或好友请求,不要接受。在几乎所有情况下,这些账户几乎没有活动,因为它们是为了寻找网络钓鱼受害者而专门创建的新账户。

        11. 灯笼式钓鱼

灯笼式钓鱼(Angler Phishing)是一种新型的、基于社交媒体的钓鱼欺诈方法,通过仿冒对用户有吸引力的账号来进行网络欺骗。

攻击者可以通过冒充客户支持人员将社交媒体网络钓鱼提升到另一个层次。骗子会创建一个假账户,并通过社交媒体账户上的评论或帖子与不满的用户联系。在交互过程中,骗子在验证了一些个人信息后提供帮助,然后提供一个链接来帮助解决问题。当然,该链接包含恶意软件。

识别方法:

未经验证的帐户——一个公司的官方支持页面或帐户通常会经过验证,并直接链接到主页。如果像Twitter或Facebook这样的大公司联系您,确保他们的名字旁边有一个蓝色的勾号。您也可以在公司网站上查看他们的官方支持页面或联系方式;

缺乏档案历史记录——即便是对于可能尚未得到验证的小型企业来说,它们也应该会有大量其他客户交互的历史记录。那些关注者很少、没有帖子的账户很可能是一个全新的账户,试图利用那些懒得查看的人。

        12. 双面魔童网络钓鱼

双面魔童(evil twin)网络钓鱼会创建一个不安全的Wi-Fi热点接入点,诱骗毫无戒心的用户连接。一旦连接,所有入站和出站数据都可以被拦截,包括个人数据或财务信息。黑客还可以提示用户访问一个虚假的门户网站,希望用户提供有价值的身份验证细节。

evil twin网络钓鱼攻击最常发生在有免费Wi-Fi的公共场所,如咖啡店、图书馆、机场或酒店。防止成为evil twin网络钓鱼目标的最好方法是在使用公共Wi-Fi的同时使用虚拟专用网络(VPN)。

识别方法:

重复的Wi-Fi热点——如果您注意到多个Wi-Fi接入点有相同的名字,寻找一个安全的、需要密码的连接。如果两个访问点都不安全,则强烈不建议连接;

不安全的警告——一些笔记本电脑或移动设备会触发一个通知,告诉您所连接的网络是不安全的。如果您收到此消息,请考虑连接到安全网络或根本不连接。

        13. 网站欺骗

攻击者会创建一个完全虚假的网站,试图窃取您的个人信息。一个制作精良的假网站会包含与原网站相同的元素,包括标识、文本、颜色和功能。金融、医疗保健和社交媒体等网站都是主要目标,因为它们通常包含您最重要的信息。

识别方法:

URL拼写错误——攻击通常会利用字符之间的相似性发起同构攻击(homograph attack)。例如,您可能会注意到“rn”代替了“m”或“vv”而不是“w”。

网站错误——很少有仿冒网站能完美匹配原始网站。有时候,网站的logo像素会稍微高一些,或者您可能会注意到某些文字没有对齐。如果发现任何异常,立即停止使用该网站,尤其是在通过电子邮件或消息发送的链接访问该网站的情况下。建议保存原始网站的书签,以便更轻松地访问它。

        14. 电子邮件域名欺骗

电子邮件域名欺骗是指骗子创建一个完全虚假的电子邮件域名,试图欺骗用户,让他们相信自己是合法的。为了避免被发现,攻击者可以编辑电子邮件的标题,使其包含合法域名的名称,希望目标用户不会检查邮件实际发送的域名地址。因为在简单邮件传输协议(SMTP)下没有域名验证,所以攻击者可以很容易地欺骗电子邮件。

钓鱼者也可以选择隐藏发件人的地址,只显示姓名。他们可能会尝试使用目标用户能够识别的真实姓名,这样他们就会打开邮件。当攻击者将真实姓名和合法域名结合在标头时,就可以很容易欺骗不知情的用户。

域名欺骗与DNS欺骗不同,因为它创建一个全新的域,而非攻击DNS服务器。

识别方法:

未经请求的邮件——任何意料之外的邮件,尤其是提出请求的邮件,都是钓鱼企图的迹象。仔细查看消息,并使用另一种通信渠道来验证电子邮件;

电子邮件地址拼写错误——假域名乍一看应该是合法的,但仔细一看,可能有同构攻击。如果您怀疑电子邮件可能来自一个虚假域名,请将链接复制并粘贴到记事本或Microsoft Word文档中,以识别任何拼写错误。

        15. DNS欺骗

DNS欺骗攻击,也称为DNS服务器投毒(DNS server poisoning)或网域嫁接(Pharming),是一种技术性更强的攻击过程,需要网络犯罪分子入侵域名服务器(DNS)——即将域名转换为IP地址的服务器。当DNS服务器被黑客攻击时,它可以自动将URL重定向到另一个IP地址下的恶意网站。

一旦用户登录到损坏的网站,可能会发生以下两种情况之一:1)恶意软件会自动下载到设备上,或2)可能会出现一个被欺骗的网站,提示用户输入登录信息或要求确认个人信息或信用卡号码。

识别方法:

不安全的网站——通常情况下,不安全的网站是钓鱼企图的标志,或者有被恶意软件感染的风险。在大多数情况下,站点将以HTTP而不是HTTPS开始;

网站错误——虚假网站通常包含错误,包括拼写错误、按钮不起作用、图像质量低、文本不对齐或错误的颜色。

        16. 基于图像的网络钓鱼

基于图像的网络钓鱼(Image-based phishing)通常会出现在网络钓鱼邮件的内容中。除了超链接和恶意url外,图像也可能包含指向受感染网站的链接。在某些情况下,包含的图像可能是电子邮件中唯一具有钓鱼意图的东西,只是为了欺骗用户,使其认为电子邮件是安全的。

识别方法:

嵌入图像链接——将鼠标悬停在图像上,检查是否有一个非官方的第三方网站的链接。这个链接有拼写错误吗?一般来说,打开和阅读邮件进行调查是安全的,只要你不点击任何东西;

垃圾邮件——任何直接发送到垃圾邮件文件夹的邮件都可能是钓鱼企图的迹象,即使它看起来像是来自公司或个人的官方邮件。有许多方法使电子邮件看起来合法,但如果它被标记为垃圾邮件,则可能有钓鱼元素被电子邮件服务器检测到;

醒目的CTA按钮——一个流行的网络钓鱼策略是包含一个吸引人的、引人注目的呼叫行动(CTA)按钮,类似于销售促销邮件。那些盲目行动的人可能不会三思而后行,只是因为它告诉他们按下按钮。在单击CTA图像之前,请确保验证了发件人、url和电子邮件内容。

        17. 搜索引擎网络钓鱼

在搜索引擎网络钓鱼中,骗子会根据高价值的关键词和搜索创建合法页面,让它们在流行的搜索引擎上排名。这些页面通常以吸引眼球的内容为特色,以吸引毫无戒心的用户。一旦用户登录到这些页面,他们被要求输入银行信息或他们的SSN。这些虚假页面通常包括:

免费产品;

自由的假期;

投资机会;

折扣代码;

工作机会;

约会匹配;

被电脑病毒感染;

识别方法:

千载难逢的机会——没有什么是真正免费的,如果它听起来好得令人难以置信,那么它很可能就有钓鱼企图。在你接受并开始输入个人信息之前,做好尽职调查并适当地研究网站或offer。

制作拙劣的网站——许多这样的网站制作得非常快,因为一旦被举报,它们往往会被关闭。如果它看起来像一个低质量的网站,无论如何都要避免它。

        18. 水坑攻击

水坑攻击(Watering Hole Phishing)是一种策略,通过感染目标经常访问的第三方网站,将目标锁定在一个特定的公司或群体。攻击者发现并利用网站上的一个漏洞,用恶意软件感染网站,然后通过发送电子邮件引导用户访问该网站来诱骗用户。

尽管这种类型的攻击比其他攻击不常见,但一旦黑客感染了单个用户,他们就可以访问整个网络和系统。其他网站访问者也可能成为受害者,即使他们与主要目标群体没有关系。

识别方法:

安全警报——钓鱼攻击的第一个迹象是您的杀毒软件或反恶意软件检测到攻击。这就是保持安全解决方案更新至关重要的原因所在。

安全测试——因为第三方风险很难控制,因此识别潜在网络威胁的最佳方法就是不断测试安全防御并安装安全补丁。如果第三方站点访问频繁,安装终端保护软件可以有效防止水坑网络钓鱼攻击。

        19. 中间人(MITM)网络钓鱼

中间人(man-in-the-middle,MITM)网络钓鱼攻击是指攻击者拦截并改变通信链,有效地成为“中间人”。然后,攻击者控制通信流,并负责发送和接收所有消息。当攻击者拦截数据时,他可以操纵数据从双方获得个人信息。

识别方法:

通常,MITM攻击很难检测到,因为URL错误更有可能是另一种钓鱼方法的结果。网络管理员必须不断地监视通信流量,以检测被改变的通信。以下是一些值得警惕的信号:

不安全的网站——如果您正在浏览网页,请务必查看浏览器搜索栏中URL旁边的挂锁。通常,锁定的挂锁表明该网站具有有效的SSL证书和HTTPS协议(而不是HTTP);

URL拼写错误——如果URL拼写错误或中间插入了随机数,请使用不同的设备再次检查该网站;

明显较慢的消息传递——即时消息传递平台在发送消息时通常很少或没有延迟。然而,不使用端到端加密的平台可能成为MITM攻击的受害者。发送时间明显变长的信息可能是攻击的迹象。

参考及来源:https://www.upguard.com/blog/types-of-phishing-attacks

文章来源:嘶吼专业版

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!

如侵权请私聊我们删文

END

多一个点在看多一条小鱼干


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650557142&idx=2&sn=03b8a06d1bb503eb7a5ebd59c9d61681&chksm=83bd2f32b4caa624dd777da1918f13cd2df26af98b334d277a0c6fa2f75ea4addd1e27c6c892#rd
如有侵权请联系:admin#unsafe.sh