【重磅!】为什么网络钓鱼仍然是最成功的黑客技术
现在我们大多数人都不会点击声称彩票中奖者的电子邮件。但是,网络钓鱼攻击已经进化了,并且仍然是自1995年第一次网络钓鱼攻击以来对个人或企业最危险的网络攻击。
根据电子邮件安全公司Valimail的一份报告,每天发送超过30亿封欺骗性消息,占所有电子邮件流量的近1%。这给我们的社会造成了代价高昂的损失。根据Cybersecurity Ventures的2020年官方年度网络犯罪报告的估计,到2021年,全球网络犯罪损失将从2015年的3万亿美元上升到每年6万亿美元。
什么是网络钓鱼?
术语"网络钓鱼"是对"钓鱼"一词的发挥。根据 IETF RFC 4949 Ver 2,网络钓鱼的定义如下:
一种试图通过电子邮件或网站上的欺诈性招揽来获取敏感数据(如银行帐号)的技术,其中犯罪者伪装成合法企业或信誉良好的人。
例如,邮件可能包含"新 iPhone 赠品"、"恶意软件警报"或其他类型的有吸引力的主题行。此外,网络钓鱼电子邮件可能包含公司的徽标,地址,电话号码以及任何其他可以使其看起来合法的信息。
另一种常见的策略是让它看起来像你认识的人或想要与你分享内容的朋友的个人电子邮件。最后,网络钓鱼技术通常等待某人"上钩"。与传统捕鱼一样,这些骗子发出"钩子",只需要相对较少的人来获取"诱饵"(即点击链接)。
是什么让这次攻击如此成功?
如今,我们大多数人都能够发现网络钓鱼电子邮件 。诈骗者也知道这一点。因此,它们增强了网络钓鱼技术(稍后会详细介绍)。但在我们认识到网络钓鱼之前,为时已晚。有人可能已经点击了该链接。
一、人性是网络安全中最薄弱的环节
社会工程学正在利用我们的心理因素来获取信息或经济利益。例如,网络钓鱼电子邮件是黑客试图从个人那里获得知识或经济利益的最常见方式之一。在网络安全方面,我们将这种技术归类为"社会工程"。
根据 NIST SP800–63–3 — 数字身份指南,社会工程是:
欺骗个人泄露敏感信息,未经授权的访问或通过与个人交往来获得信心和信任来实施欺诈的行为。
在我们的脑海中没有要更新或安装防火墙的签名。因此,黑客利用未修补的心理漏洞,最简单的方法是通过网络钓鱼。
二 、在家工作+BYOD
BYOD(Bring Your Own Device)指携带自己的设备办公。COVID-19的情况不会很快好转,因为许多公司都在努力生存业务。因此,远程办公和在家工作等应急计划正在成为许多员工(包括我)的新常态。
在家工作意味着员工更加放松,并且可能经常使用自己的设备进行工作(即BYOD),这意味着,如果网络犯罪分子破坏了员工的设备,他们不仅可以访问设备内部的数据,还可以访问公司网络的入口。
员工与IT和网络安全团队更加疏远,这意味着他们在需要时(特别是当BYOD到位时)受到的监控和支持较少,例如看到可疑但紧急的电子邮件;通常,他们可能会向内部团队报告。但是,当他们在家时,他们可能会以不同的方式对待它。
三 、易于上手
如果你想成为一名网络犯罪分子,你现在可以有一个更低的障碍。越来越多的黑客工具旨在帮助计算机知识很少的业余爱好者进入网络犯罪行业。在所有工具中,网络钓鱼工具包成本低且广泛。
在线网络钓鱼工具包的可用性以及勒索软件即服务(RaaS)的兴起降低难度。这导致了来自不断增长的业余网络犯罪分子的勒索软件和其他漏洞的爆发。
特殊类型的网络钓鱼
在下文中,我将介绍几种新类型的网络钓鱼以提供意识。
高级恶意软件网络钓鱼
Proofpoint研究人员在四月初通过伪装成DHL运输通知的电子邮件传播了Buer恶意软件加载器的新变种。这些电子邮件影响了50多个垂直行业的200多个组织。(Buer是一种在地下市场上销售的下载器,用作受感染网络中的"基地",以分发其他恶意软件,包括勒索软件。
网络钓鱼电子邮件包含指向恶意Microsoft Word或Excel文档的链接,该文档使用宏来删除新的恶意软件。此外,新病毒是用一种名为Rust的编码语言重写的,Rust是一种完全不同的恶意软件。因此,网络钓鱼更难被检测,而且危害更大。
鱼叉式网络钓鱼
虽然传统的网络钓鱼活动针对的是大量相对低收益的目标,但鱼叉式网络钓鱼针对的是特定目标,尤其是向指定受害者精心制作的电子邮件。这是一种不同类型的网络钓鱼,旨在渗透目标(通常是组织)。
大规模网络钓鱼主要涉及使用自动化的现成工具包来大规模收集凭据。另一方面,有针对性的活动通常涉及包含恶意软件的文档或指向凭据窃取网站的链接,以仅窃取敏感信息或知识产权或破坏支付系统。
QRising
QRishing结合了"二维码"+"网络钓鱼"这两个词,这表明攻击是二维码的形式。
二维码是威胁行为者的流行工具,主要是因为大流行限制了身体接触。我们用它来访问菜单,检查疫苗和获取公共信息。此外,社交距离指南和"无接触"等趋势已经普及了二维码的使用。
卡巴斯基在2020年第一季度的一个例子中报告说,几家荷兰银行的客户收到了一封虚假的电子邮件,要求他们通过扫描二维码来"解锁"移动银行业务。相反,二维码将他们定向到恶意软件嵌入的Web链接。
另一种策略是将虚假的二维码插入网络钓鱼电子邮件,文本或社交媒体平台。扫描错误代码后,用户将被重定向到伪造的网站,其中可能会提示受害者登录以窃取其凭据。
诈骗二维码可以连接到不安全的WiFi网络,而有人可以毫不费力地捕获您正在键入的内容。虚假代码还可能将您带到可以自动下载恶意软件并用于访问您的设备,窃取数据或进行勒索软件等进一步攻击的网站。
诈骗
同时,Smishing是"网络钓鱼"和"SMS"这两个词的组合。这意味着它是一种以短信形式通过您的移动网络发送的网络钓鱼。虽然这个名字使用短信,但这种攻击也可能发生在其他信使平台上,如Facebook Messenger或WhatsApp。
您可能会认为这是该块上的最新骗局。像我一样,如果您看到暂停MetaMask钱包的短信,有人可能会感到点击链接的紧迫感。但是,这已经预期了几年了。新冠肺炎大流行,加上送货上门的增加,提高了它的受欢迎程度。
常见的Smishing试图专注于日常必需品。错过交货,延迟付款,银行通知,罚款和紧急通知是诈骗攻击的极好例子。
有这么多人呆在家里,每天都有那么多在线购物。跟踪进入房屋的所有内容是非常具有挑战性的。将众所周知的送货服务与虚假的"送货费"通知相结合是成功诈骗的最佳秘诀。下次看到类似内容时,请务必仔细检查网址,并先尝试使用其他方式访问您的帐户。
语音钓鱼
之前,我写过我最近在电话中与诈骗者相遇 。这也是一种称为"网络钓鱼"的网络钓鱼。它通常被称为"语音网络钓鱼",表明网络犯罪分子使用社会工程策略来诱使受害者采取行动并放弃个人信息。
与网络钓鱼或诈骗一样,网络钓鱼依赖于吸引目标,他们通过响应呼叫者来做正确的事情。通常,来电者会假装是政府、税务部门、警察或银行的人 。
网络犯罪分子使用威胁和有说服力的语言让受害者觉得他们别无选择,只能放弃被要求的信息。一些网络犯罪分子使用强硬而有力的语言,而另一些则建议帮助受害者避免刑事指控。
另一种常见的策略是留下威胁性的语音邮件,告诉收件人立即回电,否则可能会被捕,关闭银行账户或更糟。
最近,在香港,一名女性通过语音钓鱼攻击承包了2000万港元(约合258万美元)。这在香港尤其有效。由于诈骗者现在可以伪装成国家安全法的终极权力特种警察部队。
最后记住:天上不会掉馅,身正不怕影子斜,小心驶得万年船!
