我们现在都收到过这些可疑的电子邮件——这些邮件假装来自您的银行,要求您“立即验证您的帐户详细信息!”或声称您在一些您从未参加过的随机抽奖中赢得了一部 iPhone。所有这些都是为了让您点击一些恶意链接。删除,删除,删除。明显的网络钓鱼是……明显的,对吧?
不幸的是,网络钓鱼攻击已经远远超出了那些明目张胆的老骗局。如今的网络钓鱼构成了严重威胁—— 84% 的企业 调查显示,网络钓鱼是他们面临的最常见攻击媒介。这些攻击非常复杂,针对性很强,旨在通过个性化的社交工程技术欺骗经验丰富的专业人士。
事实上,现代网络钓鱼使用极其巧妙的手段,诱骗我们毫不犹豫地交出凭证或敏感数据,其后果可能是毁灭性的。在这篇文章中,我们将深入探讨不断发展的网络钓鱼世界,探索这些数字扒手使用的最新伎俩,他们的骗局为何如此成功,最重要的是,您如何更好地识别和保护自己(或您的企业免受他们的侵害)。
现代网络钓鱼攻击的剖析
网络钓鱼 过去,网络钓鱼攻击非常粗鲁,充斥着拼写错误、语法错误和糟糕的写作技巧。但现代网络钓鱼攻击呢?它们已经很难与真实情况区分开来,现在所有人口统计数据中的人们(不仅仅是那些非数字原生代)都成了受害者。让我们分析一下是什么让它们如此危险地令人信服:
超越电子邮件,触及数字生活的每个角落
别再只关注电子邮件了——人们在社交媒体、消息应用程序甚至游戏网站上花费了大量时间,现代网络钓鱼已将网络遍布整个数字领域。诈骗现在通过以下方式向您发起攻击:
- 短信(短信诈骗)
- 电话诈骗
- Facebook 和 LinkedIn 等社交平台
- 游戏社区
事实上,没有任何数字通信渠道仅仅因为其平台而变得安全。
超个性化消息传递
我们看到新闻中充斥着数据泄露事件(以及社交媒体上过度分享的趋势),其中一个主要副作用是黑客可以轻松获取我们的个人信息,从而使他们的骗局更具吸引力。从那里开始,网络犯罪分子会毫不留情地利用这些个人信息来制作有针对性的信息,这些信息会深深地引起我们作为真实个体的共鸣。
想象一下,银行精心编写的电子邮件中提到了您的家乡、最近的家庭度假、同事、孩子的名字、最喜欢的运动队或您支持的非营利组织。或者您的电话运营商发短信指出您上个月出国旅行期间帐户出现可疑活动。这些精确的个人信息本质上建立了信任并迅速引起您的注意。这正是超个性化网络钓鱼如此有效的原因,甚至连网络安全专业人员都能被骗。
更高级别的社会工程策略
现代骗子非常擅长心理学和说服,他们瞄准人类与生俱来的情感,如好奇、恐惧、紧迫感和贪婪。他们仔细测试叙述,以找到绕过逻辑的正确情感触发因素,让人们不加思索地点击恶意链接。这些策略不断发展,这要归功于 A/B 测试和对网络钓鱼活动表现的分析——让数据决定如何改进他们的操纵。
隐秘的技术技巧
缩短的 URL、电子邮件欺骗、相似的字符——网络钓鱼者有各种各样的伎俩来逃避安全保护并诱使您点击不该点击的地方。仅依靠眼睛和技术来识别假冒商品比以往任何时候都更加困难。
针对性攻击的兴起——捕获大鱼
似乎强化的网络钓鱼策略还不够糟糕,现在攻击者越来越精明,知道他们要用专门的攻击来瞄准谁。主要目标?公司高管和关键人员。如果可以入侵保护宝贵数据的大人物,为什么要攻击普通用户呢?常见的针对性网络钓鱼攻击包括:
捕鲸
您可能听说过鱼叉式网络钓鱼,即针对特定公司或个人的网络钓鱼攻击。鲸钓式网络钓鱼则更上一层楼,专门针对高级管理人员、政客、名人和其他知名人士。通过访问敏感的公司数据或大型银行账户,一名受到攻击的高管就可能对企业、领导层或非营利组织造成毁灭性打击。
商业电子邮件泄露 (BEC)
BEC 攻击者利用巧妙的冒充和社会工程手段,诱使员工自愿将资金或敏感数据转移给他们认为是合法接收者的外部方。一封虚假的 CEO 电子邮件要求财务团队为秘密收购汇款。一份紧急的供应商付款请求吓坏了中层管理人员,迫使他们立即采取行动。BEC 利用信任造成毁灭性的影响。
供应链攻击
越来越多的网络钓鱼者瞄准薄弱环节——第三方供应商、供应商、合作伙伴——他们可能拥有访问或集成组织网络和系统的特权。一旦链条的某个环节受到威胁,攻击者就会向内钻,获得窃取数据或在客户端系统中植入恶意软件的立足点。
解析有效网络钓鱼背后的心理学
我们都认为自己绝不会上当受骗,比如“国税局”的假电话威胁要逮捕我们,或者被废黜的王子发来的电子邮件,要求将 1000 万美元转入我们的银行账户。但了解人们上当受骗的真正心理动机——即使是持怀疑态度的安全专家——也会发现,在正确的情况下,我们所有人都很容易上当。以下是专家级网络钓鱼者所依赖的 3 个核心心理触发因素。
将信任武器化
我们天生就会寻找捷径来确定谁和什么值得信任——头衔、徽标、电子邮件地址。网络钓鱼者利用这种倾向,冒充值得信任的品牌或同事,他们知道一旦我们认为某个实体是合法的,我们的警惕性就会降低。电子邮件看起来没错……但我们的直觉似乎仍然不对。大多数时候,听从直觉是明智的!
激发好奇心不仅会害死猫
好奇心是人类的基本特征,但它也可能使我们不知不觉地陷入危险。网络钓鱼者用诱人的标题、限时优惠和诱人的行动号召来引诱我们,让我们的理性防御失效。如果发现有什么不对劲,请在点击或回复之前暂停并评估。
熟悉导致欺骗
还记得之前那些令人恐惧的超个性化网络钓鱼信息吗?通过认真研究受害者的家乡、兴趣、雇主、家庭、近期事件或旅行等个人信息,网络钓鱼者将其变成网络诈骗。这种人为制造的熟悉感会让目标下意识地放松警惕。
当“可信联系人”的请求看起来有点奇怪时,我们通常会提出一些仔细的问题,但这种熟悉感蒙蔽了我们的双眼。我们无法理解为什么公司高管需要我们在无法识别的云应用程序上共享文件,或者为什么我们的老客户想要在没有通知的情况下更换支付平台。
防御现代高风险网络钓鱼
现在您已经了解了现代网络钓鱼的广泛范围及其多层次策略,考虑到个人、企业和政府实体目前面临的威胁,仅仅依靠发现错误拼写来识别诈骗是愚蠢且完全不够的。以下是一些帮助您更好地保护自己的提示:
教育自己(或你的员工)
毫无疑问,最重要的防御措施是了解竞争环境——最新的网络钓鱼战术和策略。阅读最新新闻,安排定期的网络钓鱼模拟培训,以保持安全第一。受过教育的劳动力是安全的劳动力。
完善技术保障措施
建立强大的电子邮件过滤、反恶意软件、端点安全和网络保护,在恶意攻击危害系统之前将其捕获。定期更新软件并实施多因素身份验证,以增强对未经授权访问的防护。
信任之前请先验证
培训每个人在采取行动之前仔细检查请求——通过不同的渠道验证身份,仔细检查链接中的 URL,质疑异常行为。通过可信流程确认付款或数据请求,而不仅仅是通过电子邮件。
制定事件响应计划
准备好行动计划,以防万一。定义角色、响应和沟通计划,以便及时遏制、调查和恢复成功的网络钓鱼攻击。做好准备将最大限度地减少损失。
最后的话
凭借高度个性化的社交工程攻击和狡猾的技术手段,网络钓鱼者欺骗我们的能力比以往任何时候都要高超。人类可能总是会受到一些诱惑,比如激发好奇心、利用熟悉度和利用信任。但只要保持警惕,我们就能有效地保护企业资产和个人安全,抵御甚至可怕的复杂现代网络钓鱼策略。
特色图片来源: 自由图片
