網絡釣魚攻擊在2019年呈現(xiàn)持續(xù)增長趨勢
責編:gltian |2019-07-04 14:39:08如今,網絡安全形勢日趨嚴峻,層出不窮的網絡釣魚攻擊不僅可以托管各種惡意軟件和勒索軟件攻擊,而且更糟糕的是這些攻擊正在呈現(xiàn)不斷上升的趨勢。
自 2012 年起,得益于最新網絡釣魚技術的加持,勒索軟件開啟了席卷互聯(lián)網的格局。一些毫無顧忌且毫無準備的用戶(包括企業(yè)和個人)開始發(fā)現(xiàn)自己的屏幕失去了控制,數(shù)據(jù)也不在自己的掌控之中,而且想要重新獲取控制權的唯一方式就是向犯罪肇事者支付贖金,這些贖金通常都是無法追蹤的加密貨幣,如比特幣以及門羅幣等。
數(shù)據(jù)顯示,這些攻擊的數(shù)量呈現(xiàn)逐年遞增的趨勢,僅在 2018 年的前 6 個月就達到了 1.81 億起的高峰,比 2017 年同期增長了 229%。說到這里,不得不提一件有趣的事情。安全、用戶意識和組織控制措施等多重因素在 2018 年下半年開始發(fā)揮作用,限制了勒索軟件的發(fā)展,數(shù)據(jù)顯示,到 2018 年 12 月底,勒索軟件攻擊同比下降了 60%。
然而不幸的是,一種形式的惡意軟件的衰退往往只是殘酷的安慰,并不會對整體威脅起到明顯的作用。就在網絡犯罪分子試圖利用勒索軟件摧毀用戶的方式陷入困境之時,他們想到了網絡釣魚的策略。網絡釣魚是互聯(lián)網上流行已久且行之有效的黑客攻擊機制之一。在這種情況下,用戶必須要為自己的設備部署保護性的防病毒軟件進行防御。
2018年的網絡釣魚浪潮
2018 年 1 月到 12 月期間,微軟報告的網絡釣魚事件數(shù)量增加了 250%,這大約 4700 多億條垃圾電子郵件消息嚴重影響了互聯(lián)網生態(tài)系統(tǒng)。
值得注意的是,網絡釣魚涉及一種陰暗的做法,即試圖欺騙用戶訪問釣魚網站,以此獲取他們的數(shù)據(jù)信息或是讓他們的系統(tǒng)感染上某種惡意軟件。為了成功誘騙受害者,威脅行為者通常會利用電子郵件中的鏈接或附件、社交媒體消息中的鏈接或是流行的即時消息中的文本等。
網絡釣魚的構成因素非常復雜,并且通常會基于目標和協(xié)調攻擊的渠道跨越多個子類別。其中 “魚叉式網絡釣魚” 和 “網絡捕鯨 (whaling) ” 被證明是特別危險且有效的兩種網絡釣魚類型。主流的網絡釣魚活動仍然傾向于 “廣撒網” 的方式,即向無數(shù)用戶發(fā)送千篇一律毫無針對性的釣魚信息,一定程度上有點類似于 “撞大運”,而魚叉式網絡釣魚則是針對特定用戶進行攻擊。
為了準備發(fā)動這種攻擊,威脅行為者會針對目標進行徹底的研究并獲取其痛點、習慣和生活方式細節(jié)等信息。這些信息可以幫助犯罪分子量身定制受害者無法拒絕的郵件,進而大幅提升攻擊成功率。
“網絡捕鯨” (Whaling) 是另一種日趨普遍的網絡釣魚類型,它專注于特定組織中的高層管理人員。例如,通過入侵 CEO 的電子郵件賬戶,攻擊者就可以冒充受害者并向員工發(fā)送誘殺信息,因為他們信任發(fā)件人,因此會急切地遵循所附的說明行事。
正如安全、用戶意識和組織控制措施對抑制勒索軟件發(fā)展所發(fā)揮的作用一樣,用戶同樣能夠通過學習和意識培訓等途徑,做到更容易識別出網絡釣魚嘗試的程度。但是不幸的是,網絡犯罪分子也一直在尋找操縱個人用戶和企業(yè)的新方法,這導致至少有 7 種新型網絡釣魚攻擊正在崛起,具體如下:
1. 指向流氓云存儲位置的偽鏈接
這種方法通常被大量用于不熟悉公司所使用的每一種軟件和資源的企業(yè)員工身上。這種偽云鏈接通常會要求員工輸入用戶名和密碼等信息。而糟糕的現(xiàn)實是,員工通常習慣將與工作相關的所有或大部分登錄密碼設置為同一個,所以在偽鏈接中輸入密碼將為黑客帶來令人垂涎的豐富信息。
2. 網絡釣魚附件
即使收件人足夠聰明,可以避開點擊釣魚郵件中的鏈接,但是在其打開電子郵件時,可能也會打開附近。
3. 憑證網絡釣魚鏈接
欺詐者可以定制一封電子郵件,該電子郵件看起來就像是來自目標用戶所使用的服務提供商發(fā)送的真實郵件。當它要求獲取憑證時,一切都悔之晚矣。
4. 虛假短信息
獲取用戶的電話號碼允許網絡犯罪分子發(fā)送看似來自可信任來源的短信息,但實際上只是在誘使用戶前往釣魚網站而已。
5. 身份仿冒
黑客可以假扮成你認識的人,以獲取你的信任并欺騙你點擊惡意鏈接或下載惡意文件。
6. 域名仿冒
在這種形式的攻擊中,網絡釣魚電子郵件域名看起來與你信任的域名非常相似,除了它有一些不明顯的拼寫錯誤,例如來自 bankoamerica.com 而不是來自 bankofamerica.com 的郵件。
7. 域名欺詐
黑客會對覆蓋的真是域名進行模糊處理,以達到網絡電子郵件域名與合法域名實現(xiàn)欺詐性的完美匹配。
網絡釣魚防御建議
通過即時消息、短息或電子郵件獲取到的每條信息都需要謹慎對待,這是防護網絡釣魚攻擊的一個經驗法則。任何看起來有點可疑的東西都應該及時忽略并刪除。如果你不確定它是否來自可信來源,請務必通過其他方法聯(lián)系該來源,以確定他們是否發(fā)送過相關信息。
即便每個人都可能淪為網絡攻擊的目標,我們也要盡可能地成為一支 “移動靶”,學會識別網絡釣魚欺詐的明顯漏洞。查找郵件以及收件人的電子郵件地址中的拼寫錯誤和其他不準確之處。如果你冒險點擊了可疑電子郵件中的鏈接,請立即檢查生成的網頁是否具有有效的 SSL 證書。
此外,請注意設置截止日期或以其他方式脅迫你做某事的消息,因為壓力和緊迫感也是網絡釣魚的明顯標志。重要的是,請記住,合法的服務提供商不會要求你提供敏感信息,例如你的登錄憑證——因為他們已經掌握這些信息了。
最后,也是最重要的,應該研究、安裝并持續(xù)更新你的設備所使用的著名防病毒軟件,以確保你的系統(tǒng)安全。更新軟件可使其惡意軟件數(shù)據(jù)庫了解最新的威脅類型,并可靠地保護你免受攻擊威脅。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網可信交易技術與應用白皮書
- 美國美中委員會發(fā)布DeepSeek調查報告
- 2024年中國網絡與信息法治建設回顧