什么是“鱼叉钓鱼”,以及它如何夺走大公司?

spear-fishing

这个消息充满了针对政府,大公司和政治活动家的“鱼叉式网络钓鱼攻击”的报告。 根据许多报告,鱼叉式网络钓鱼攻击现在是企业网络遭到破坏的最常见方式。

钓鱼网络钓鱼是一种更新,更危险的网络钓鱼形式。 而不是一个广泛的网络希望捕捉任何东西,矛式钓鱼者工程小心攻击,并针对个人或一个特定的部门。

网络钓鱼解释

网络钓鱼是假冒某人可靠的尝试和获取您的信息的做法。 例如,钓鱼者可能会发送垃圾邮件假冒来自美国银行,要求您点击链接,访问假冒的美国银行网站(网络钓鱼网站),并输入您的银行详细信息。

但是,网络钓鱼不仅限于电子邮件。 钓鱼者可以在Skype上注册聊天名称(如“Skype支持”),并通过Skype消息与您联系,说您的帐户已被盗用,他们需要您的密码或信用卡号码来验证您的身份。 这也在网络游戏中进行,骗子假冒游戏管理员,并发送要求您输入密码的邮件,他们会用来窃取您的帐户。 网络钓鱼也可能通过电话发生。 过去,您可能收到了声称来自Microsoft的电话,并说您需要付费才能移除病毒。

钓鱼者通常投一个很宽的网。 美国银行的钓鱼邮件可能会发送给数百万的人,甚至没有美国银行帐户的人。 因此,网络钓鱼通常相当容易发现。 如果您与美国银行没有关系,并收到声称是来自他们的电子邮件,应该很清楚,电子邮件是一个骗局。 钓鱼者依靠的事实,如果他们接触足够的人,有人最终会因为他们的骗局。 这是同样的原因,我们仍然有垃圾邮件 - 有人在那里必须为他们下跌或他们不会有利可图。

看看网络钓鱼电子邮件的解剖以了解更多信息。

鱼叉钓鱼如何不同

如果传统的网络钓鱼是为了捕捉东西而投下一个广泛的网络的行为,那么鱼叉式网络钓鱼就是针对特定个人或组织进行攻击的行为,并针对他们个人调整攻击。

虽然大多数网络钓鱼电子邮件不是很具体,但鱼叉式网络钓鱼攻击使用个人信息使骗局看起来真实。 例如,不要阅读“亲爱的先生,请点击此链接获得神话般的财富和财富”电子邮件可能说“你好鲍勃,请阅读我们在星期二的会议上起草的业务计划,让我们知道你的想法。”电子邮件可能会出现(可能有来自你知道有人伪造电子邮件地址与真实的电子邮件地址,但可能是人在钓鱼攻击被攻破后),而不是一个你不知道的。 请求是更精心制作的,看起来可能是合法的。 电子邮件可能会引用您认识的人,您购买的内容或其他个人信息。

对高价值目标矛钓鱼攻击可以用相结合的零日攻击的最大伤害。 例如,Cheat者可以通过电子邮件向特定企业的个人发送电子邮件,说“Hi Bob,您能看看这份商业报告吗? Jane说你会给我们一些反馈。“有一个合法的电子邮件地址。 链接可以转到具有嵌入式Java或Flash内容的网页,利用零日损害计算机。 Java是特别危险的 ,因为大多数人已经过时,而且安装容易的Java插件)。一旦计算机被感染,攻击者就可以访问他们的企业网络或者使用他们的电子邮件地址发动针对其他个人目标矛钓鱼攻击组织。

一个骗子还可以附加一个危险的文件,这是变相看起来像一个无害的文件 例如,鱼叉式电子邮件可能具有附加的.exe文件的PDF文件。

图片

谁真的需要担心

鱼叉式网络钓鱼攻击正被大公司和政府用来访问其内部网络。 我们不知道每个被成功的钓鱼攻击攻击所损害的公司或政府。 组织通常不披露损害他们的攻击的确切类型。 他们甚至不喜欢承认他们已经被黑客了。

快速搜索表明,包括白宫,Facebook,苹果,美国国防部,纽约时报,华尔街日报和Twitter的组织都可能受到鱼叉式网络钓鱼攻击。 这些只是我们所知道的一些组织已经被破坏 - 这个问题的程度可能更大。

如果攻击者真的想要妥协高价值的目标,钓鱼式钓鱼攻击 - 也许结合在黑市上购买的一个新的零日攻击 - 通常是一个非常有效的方式。 鱼叉式网络钓鱼攻击通常被提及为高价值目标被突破的原因。

保护自己免受钓鱼网络钓鱼

作为一个人,与政府和大型公司相比,你不太可能成为这种复杂攻击的目标。 然而,攻击者可能仍然试图通过将个人信息并入钓鱼电子邮件中来使用鱼叉钓鱼战术。 了解网络钓鱼攻击变得越来越复杂是很重要的。

当涉及钓鱼,你应该警惕。 保持您的软件是最新的,所以如果您点击电子邮件中的链接,您可以更好地防止遭受损害。 打开附加到电子邮件的文件时要格外小心。 小心个人信息的异常请求,即使是那些似乎可能是合法的。 不要重复使用密码在不同网站上,以防万一你的密码不出去。

钓鱼攻击通常试图做合法企业永远不会做的事情。 您的银行不会向您发送电子邮件并要求您提供密码,您购买商品的商家绝不会向您发送电子邮件并要求您提供信用卡号码,并且您将永远不会收到来自合法组织的即时消息,要求您输入密码或其他敏感信息。 不要点击电子邮件中的链接,并给出敏感的个人信息,无论如何令人信服的钓鱼电子邮件和网络钓鱼网站。


与所有形式的网络钓鱼一样,鱼叉式网络钓鱼是一种特别难以防御的社会工程攻击形式。 所有它需要的是一个人犯了一个错误,攻击者将在您的网络中建立一个toehold。

图片来源: 美国佛罗里达州鱼类和野生动物的Flickr

赞 (0)
分享到:更多 ()