12種常見的網絡釣魚
網絡釣魚是一種網絡攻擊,是指具有惡意動機的攻擊者偽裝欺騙人們并收集用戶名或密碼等敏感信息的一系列行為。由于網絡釣魚涉及心理操縱并依賴于人為失誤(而不是硬件或軟件漏洞),因此被認定為是一種社會工程攻擊。
1. 普通網絡釣魚(群攻)
普通網絡釣魚是廣撒網的方式,通過偽裝成目標關注的各種信息,通過郵件、短信等方式向用戶發送鏈接,欺騙用戶輸入敏感信息、下載病毒、木馬等惡意軟件,獲取目標的相關信息實施攻擊或欺詐。
2. 魚叉式攻擊(特攻)
魚叉式攻擊是一種較為高級的網絡釣魚攻擊手法,針對特定的目標或組織,借助構造特定主題和內容的郵件、短信等第三方媒介,吸引特定目標群體打開鏈接或下載附件等方式的釣魚攻擊行為。魚叉攻擊實施前,攻擊者需要在前期對特定目標的工作情況、生活情況及其它活動規律等進行摸底偵察,再運用社會工程學方法構造定制化的釣魚郵件、短信等。這些釣魚郵件、短信的主題、內容及文檔標題均能與目標當前所關心的熱點事件、工作事項或個人事務等相匹配,以降低目標的防范心理,誘騙其下載附件中的帶有病毒代碼或者漏洞利用的偽裝性攻擊文檔,實現精準、高效的載荷投遞。
3. 鯨釣式攻擊(斬首)
攻擊者不針對組織內的低級別人員,而是針對高層,如首席執行官,首席財務官和首席運營官。釣鯨的目標是經過精心挑選的,因為受害者價值很高,而被盜的信息將比普通員工提供的信息更有價值。釣鯨需要依賴于社交工程,攻擊者需要更好地了解目標。通常攻擊者會先從互聯網和各種社交媒體平臺獲取目標的相關信息,然后再用此信息設計有針對性地釣魚。
鯨釣攻擊和魚叉攻擊的區別在于,鯨釣只針對組織內的高級別人員,而魚叉攻擊的目標是重要的組織,它會向該組織內的所有員工發釣魚郵件,而不單單針對高層。
4. 水坑式攻擊(埋雷)
在受害者必經之路設置了一個“水坑(陷阱)”,攻擊者分析攻擊目標的上網活動規律,尋找攻擊目標經常訪問網站的脆弱性,先將此網站“攻破”并植入攻擊代碼,一旦攻擊目標訪問該網站就會“中招”。水坑攻擊手法針對的目標多為特定的團體(組織、行業、地區等),由于此種攻擊借助了目標團體所信任的網址,攻擊成功率很高,即便是那些對魚叉攻擊、鯨釣攻擊或其他形式的釣魚攻擊具有防護能力的團體也會中招。
5. 燈籠式釣魚
燈籠式釣魚是一種新型的、基于社交媒體的釣魚欺詐方法,常見于Twitter, Facebook和Instagram等熱門社交媒體平臺。欺詐者通過創建仿冒的品牌賬號/門戶,先吸引用戶關注(燈籠式吸引),騙取信任后,再將用戶誘導至實際的釣魚鏈接,完成欺詐,這種手法常見于銀行、電商、零售等行業。需要說明的是,除了仿冒企業,仿冒企業的管理人員或社會名人、明星等,也同樣非常有效。
6. WIFI網絡釣魚
攻擊者偽裝公眾場所常用的WIFI熱點,誘導受害者連接使用公共WIFI,接管受害者網絡竊聽網絡流量數據,捕獲受害者手機號、用戶賬號等相關信息后實施攻擊或欺詐。
7. 2G/3G/4G/5G網絡釣魚
攻擊者利用偽基站接管受害者手機信號,截獲受害者手機上網流量數據,獲取受害者手機號、賬號、密碼等相關信息后實施攻擊或欺詐。
8. 域名欺騙
域名欺騙是一種最常見的網絡釣魚形式,攻擊者使用與企業非常相近的域名來仿冒企業本身或企業員工進行欺詐。通常攻擊者會注冊一個與企業域名非常相似的域名,然后利用此域名發送電子郵件,或者搭建一個欺詐網站,欺詐網站會使用企業商標或視覺設計風格來進行仿冒,而郵件會盡可能采用企業業務相關的行業術語以增強其可信性。
9. 雪鞋攻擊
雪鞋攻擊即“打了就跑”的垃圾郵件要求攻擊者通過多個域和IP地址發送郵件。每個IP地址發送少量郵件,因此基于信譽或數量的垃圾郵件過濾技術無法立即識別和阻止惡意郵件。過濾系統還未來得及阻止,一些郵件就進入到了電子郵件收件箱。
10. DNS欺騙
通過入侵DNS服務器的方式,將受害者導引到偽造的網站上,因此又被稱為DNS服務器投毒(DNS Poisoning),不需要依賴于一個欺詐網站來引誘目標。攻擊者通過攻擊DNS服務器,將流量重定向到釣魚網站。一旦受害者訪問這個假冒網站,攻擊者只需要坐下來等待,而毫無防備的用戶照常登錄,不知不覺就泄漏了個人敏感信息。
11. 中間人網絡釣魚
中間人(man-in-the-middle,MITM)網絡釣魚攻擊是指攻擊者攔截并改變通信鏈路,攻擊者控制網絡流量,并代理發送和接收所有消息。當攻擊者攔截數據時,監聽或插入特定信息可以獲得個人敏感信息。
12. 其它攻擊方式
根據所利用的載體不同,還有短信釣魚、郵件釣魚、語音釣魚、網站釣魚、圖片釣魚、文件釣魚、搜索引擎釣魚、二維碼釣魚、克隆釣魚等各種釣魚方式。
附:如何防范網絡釣魚,可以做到以下幾點:
- 不點擊來源不明的網站鏈接
- 不點擊來源不明的文件(包括圖片)
- 不瀏覽來歷不明的網頁
- 不信任來歷不明的https證書
- 不要隨便輸入重要密碼
- 不要瀏覽黃色、賭博類的網站。
