進入 2023 年，網絡釣魚仍然像往年一樣活躍在互聯網的各個角落。2022 年 Verizon 數據泄露調查報告指出，去年 75% 的社會工程攻擊涉及網絡釣魚，僅去年一年就有超過 33 萬個賬戶被網絡釣魚，網絡釣魚占整體社會工程攻擊的 41%。

不能將所有責任歸咎于員工，因為薄弱的安全意識建設及宣教是大部分漏洞利用的原因。本文收集整理了5種最常見的網絡釣魚攻擊類型，并給出防護建議。

1、欺騙性網絡釣魚

欺騙性網絡釣魚是最常見的網絡釣魚詐騙類型。在這種策略中，欺詐者冒充合法公司來竊取人們的個人數據或登錄憑據。這些電子郵件通常使用威脅和緊迫感來嚇唬用戶做攻擊者想要做的事情。

欺騙性網絡釣魚常見的方式

合法鏈接 

許多攻擊者試圖通過將合法鏈接合并到其欺騙性網絡釣魚電子郵件中來逃避電子郵件過濾器的檢測。

混合惡意和良性代碼

負責創建網絡釣魚登錄頁的人員通常將惡意和良性代碼混合在一起以欺騙 Exchange 聯機保護 （EOP）。

重定向和縮短鏈接 

攻擊者不想向受害者發出任何危險信號。因此，他們使用縮短的 URL 來欺騙安全郵件網關 （SEG）。

修改品牌徽標

某些電子郵件過濾器可以發現攻擊者何時竊取組織的徽標并將其合并到他們的攻擊電子郵件或網絡釣魚登錄頁面上。他們通過尋找徽標的HTML屬性來做到這一點。為了欺騙這些檢測工具，攻擊者會更改徽標的 HTML 屬性，例如顏色等。

最少的電子郵件內容

攻擊者試圖通過在攻擊電子郵件中包含最少的內容來逃避檢測。例如，他們可能會選擇通過圖像而不是文本來執行此操作。

如何防御欺騙性網絡釣魚

欺騙性網絡釣魚的成功取決于攻擊電子郵件在多大程度上類似于欺騙公司的官方信件。員工應仔細檢查所有URL，以查看它們是否重定向到未知和/或可疑的網站。還應該注意通用稱呼、語句錯誤和書寫錯誤。

2、魚叉式網絡釣魚

在魚叉式網絡釣魚中，攻擊者使用目標的姓名、職位、公司、工作電話號碼和其他信息自定義他們的攻擊電子郵件，以誘騙收件人相信他們與發件人有聯系。它們的目標與欺騙性網絡釣魚相同：讓受害者點擊惡意 URL 或電子郵件附件，以便交出個人數據。

魚叉式網絡釣魚常見的方式

在云服務上存儲惡意文檔

CSO報告稱，攻擊者越來越多地將惡意文檔存儲在云服務上。一般情況下，IT 不太可能阻止這些服務。

泄露令牌

CSO還指出，犯罪分子正試圖破壞API令牌或會話令牌。在這方面的成功將使他們能夠竊取對電子郵件賬戶或其他資源的訪問權限。

收集外出通知

攻擊者需要大量情報來發送令人信服的魚叉式網絡釣魚活動。他們可以做到這一點的一種方法是向員工發送電子郵件并收集外出通知，以了解內部員工使用的電子郵件地址的格式。

探索社交媒體

攻擊者需要了解誰在目標公司工作。他們可以通過使用社交媒體來調查組織的結構，并決定他們想挑出誰進行有針對性的攻擊。

人工智能

人工智能可以做到抓取社交媒體網站的個人數據，使黑客更容易定制電子郵件和欺詐性通信。

如何防御魚叉式網絡釣魚

為了防止此類騙局，企業應持續進行員工安全意識培訓，其中包括阻止員工在社交媒體上發布敏感的個人或公司信息。公司還應該投資魚叉式網絡釣魚預防解決方案，以分析入站電子郵件中的已知惡意鏈接/電子郵件附件。

3、捕鯨

“捕鯨”一般是指針對企業高管的網絡釣魚攻擊。

作為商業電子郵件泄露 （BEC） 騙局的第二階段，捕鯨是指攻擊者濫用 CEO 或其他高級管理人員的受感染電子郵件賬戶，授權欺詐性電匯到他們選擇的金融機構。

捕鯨常見的方式

滲透網絡

被盜用高管的賬戶比欺騙性電子郵件賬戶更有效。攻擊者因此可以使用惡意軟件來滲透目標的網絡。

跟進電話

攻擊者跟進捕鯨電子郵件，并打電話確認電子郵件請求。

追蹤供應鏈

攻擊者者使用目標供應商和供應商的信息使他們的捕鯨電子郵件看起來像來自可信賴合作伙伴。

如何抵御捕鯨

捕鯨攻擊之所以有效，是因為高管通常不會與員工一起參加安全意識培訓。企業應強制要求所有公司人員（包括高管）持續參加安全意識培訓。

企業還應考慮在其財務授權流程中注入多因素身份驗證渠道，以便沒有人可以單獨通過電子郵件授權付款。

4、通訊釣魚

到目前為止，我們已經討論了大部分依賴于電子郵件的網絡釣魚攻擊。但攻擊者有時會轉向其他媒介進行攻擊。

例如通訊釣魚這種類型的攻擊無需發送電子郵件，而是撥打電話。攻擊者可以通過設置互聯網協議語音（VoIP）服務器來模仿各種實體來竊取敏感數據和/或資金，從而實施網絡釣魚活動。

通訊釣魚常見的方式

技術術語

如果攻擊者針對公司的員工，他們可能會通過使用技術術語來冒充內部技術人員誘導員工交出他們的信息。

ID欺騙

攻擊者偽裝他們的電話號碼，使他們的呼叫看起來像是來自目標區號中的合法電話號碼。

如何防御通訊釣魚

為了防止通訊釣魚攻擊，用戶應避免接聽來自未知電話號碼的呼叫，切勿通過電話泄露個人信息，并使用來電顯示應用程序。

5、短信釣魚

通訊釣魚并不是使用手機實施的唯一網絡釣魚類型。例如短信詐騙。此方法利用惡意短信誘騙用戶單擊惡意鏈接或提交個人信息。

短信釣魚常見的方式

惡意應用下載

攻擊者可以使用惡意鏈接觸發自動下載。然后，這些應用程序可以部署勒索軟件或使惡意行為者能夠遠程控制他們的設備。

鏈接到數據竊取表單

攻擊者可以利用短信以及欺騙性網絡釣魚技術來誘騙用戶單擊惡意鏈接。然后，該活動可以將他們重定向到旨在竊取其個人信息的網站。

提示用戶聯系技術支持：使用這種類型的攻擊策略，惡意行為者會發送短信，提示收件人聯系電話號碼以獲得客戶支持。然后，詐騙者將偽裝成合法的客戶服務代表，并試圖誘騙受害者交出他們的個人數據。

如何防御短信釣魚

用戶可以通過屏蔽/攔截未知電話號碼的短信內容來阻止釣魚事件發生。

6、總結

綜上所述，企業可以了解一些較為常見的網絡釣魚攻擊類型。即便如此，也并不意味著百分百安全。網絡釣魚隨著網絡也在不斷發展，同時采用新的形式和技術。所以企業必須持續進行安全意識培訓，以便其員工和高管能夠掌握網絡釣魚的發展。這與自動化安全方法齊頭并進，可與當今的網絡釣魚趨勢保持同步，并構建面向未來的防御所需的策略。