【編者按】網絡釣魚攻擊是個人和公司在保護其信息安全方面面臨的最常見的安全挑戰之一。無論是獲取密碼、信用卡還是其他敏感信息，黑客都在使用電子郵件、社交媒體、電話和任何可能的通信方式竊取有價值的數據。當然，企業更是一個特別值得關注的目標。根據Verizon Enterprise的2020年數據泄露調查報告，網絡釣魚是安全事件中第二大威脅類型，也是數據泄露中最大的威脅類型。網絡釣魚攻擊繼續在數字威脅格局中占據主導地位。

　　網絡釣魚攻擊的興起對所有組織都構成了重大威脅。重要的是，如果他們要保護自己的信息，所有組織都應該知道如何發現一些最常見的網絡釣魚騙局。同樣還要熟悉惡意攻擊者用來實施這些騙局的一些最常見的技術類型。

　　為此，我們將討論六種最常見的網絡釣魚攻擊類型，并提供組織如何保護自己的相關建議。

　　一、欺騙性網絡釣魚

　　欺騙性網絡釣魚是迄今為止最常見的網絡釣魚詐騙類型。在這一策略中，詐騙者冒充合法公司，試圖竊取人們的個人數據或登錄憑據。這些電子郵件經常使用威脅和緊迫感來嚇唬用戶，讓他們按照攻擊者的要求行事。

　　1欺騙性網絡釣魚中使用的技術

　　Vade Secure強調了欺騙性網絡釣魚攻擊中使用的一些最常見的技術：

　　● 合法鏈接：許多攻擊者試圖通過將合法鏈接合并到欺騙性的網絡釣魚電子郵件中來逃避電子郵件過濾器的檢測。他們可以通過包含他們可能欺騙的組織的合法聯系信息來做到這一點。

　　● 混合惡意代碼和良性代碼：負責創建仿冒網站登錄頁的人通常將惡意代碼和良性代碼混合在一起，以欺騙ExchangeOnline Protection（EOP）。這可能采取復制科技巨頭登錄頁面的CSS和JavaScript的形式，以竊取用戶的賬戶憑證。

　　● 重定向和縮短鏈接：惡意行為體不想向受害者發出任何危險信號。因此，他們精心策劃了網絡釣魚活動，使用縮短的網址作為欺騙安全電子郵件網關（SEG）的手段，“時間炸彈”是一種手段，將用戶重定向到網絡釣魚登錄頁面，只有在電子郵件發送完畢后，才將用戶重定向到合法網頁上，而受害者則被吊銷了他們的證書。

　　修改品牌標識：一些電子郵件過濾器可以發現惡意行為人竊取組織的標識，并將其納入其攻擊電子郵件或網絡釣魚登錄頁面。他們通過尋找logo的HTML屬性來做到這一點。為了愚弄這些檢測工具，惡意的參與者會更改徽標的HTML屬性，例如其顏色。

　　● 最少的電子郵件內容：數字攻擊者試圖通過在其攻擊電子郵件中包含最少的內容來逃避檢測。例如，他們可以選擇包含圖像而不是文本來實現這一點。

　　2欺詐性網絡釣魚攻擊實例

　　例如，PayPal詐騙者可能會發出一封攻擊性電子郵件，指示收件人點擊一個鏈接，以糾正他們賬戶的不一致之處。實際上，該鏈接重定向到一個旨在模仿PayPal登錄頁面的網站。當受害者試圖驗證自己的身份時，該網站會從受害者那里收集登錄憑據，并將數據發送給攻擊者。

　　近年來，我們也看到這類活動登上了頭條。例如，2020年9月初，PR Newswire在Retarus分享了CERT的研究，警告組織要警惕冒充合同伙伴的攻擊者。這些惡意行為者發出網絡釣魚電子郵件，敦促組織通過下載附件來更新其業務合作伙伴合同。為了增加攻擊的合法性，惡意攻擊者讓文檔看起來像是托管在行業領先的交易系統Dotloop上。但點擊文檔只是將受害者重定向到一個假的微軟登錄頁面。

　　不到一個月后，Cofense的研究人員發現了一場假裝來自安全意識培訓提供商的電子郵件活動。該行動的攻擊電子郵件警告收件人，他們只剩下一天時間通過點擊網址完成所需的訓練。一旦受害者同意了，他們就會把他們送到一個網絡釣魚工具包里，該工具包使用一個托管在俄羅斯域名上的假OWA登錄頁面來竊取受害者的微軟憑據。

　　3如何防范欺騙性網絡釣魚

　　欺詐性網絡釣魚的成功與否取決于該攻擊電子郵件與被濫用公司的官方信件有多相似。因此，用戶應該仔細檢查所有的網址，看看他們是否重定向到一個未知和/或可疑的網站。他們還應該注意散布在電子郵件中的通用稱呼、語法錯誤和拼寫錯誤。

　　二、魚叉式網絡釣魚

　　并不是所有的網絡釣魚騙局都采用“spray and pray”技術。一些詭計更多地依賴于個人接觸。

　　在這種類型的策略中，詐騙者使用目標的姓名、職位、公司、工作電話號碼和其他信息定制攻擊電子郵件，試圖欺騙收件人相信他們與發件人有聯系。然而，其目標與欺騙性網絡釣魚是相同的：誘騙受害者點擊惡意的URL或電子郵件附件，以便他們交出自己的個人數據。考慮到策劃一次令人信服的攻擊企圖所需的信息量，魚叉式釣魚在LinkedIn等社交媒體網站上司空見慣也就不足為奇了，在這些網站上，攻擊者可以使用多個數據源來編制一封有針對性的攻擊電子郵件。

　　1魚叉式網絡釣魚中使用的技術

　　以下是魚叉式網絡釣魚攻擊中使用的一些最常用的技術：

　　● 在云服務上存放惡意文檔：CSO Online報告稱，越來越多的數字攻擊者將其惡意文檔存放在Dropbox、Box、GoogleDrive和其他云服務上。默認情況下，IT不太可能屏蔽這些服務，這意味著該組織的電子郵件過濾器不會標記武器化的文檔……

　　● 破解令牌：security news platform還指出，數字罪犯正試圖危害API令牌或會話令牌。在這方面的成功將使他們能夠竊取電子郵件帳戶、SharePoint網站或其他資源的訪問權限。

　　● 收集辦公室外通知：攻擊者需要大量的情報，才能發出令人信服的魚叉式網絡釣魚攻擊。根據Trend Micro的說法，他們可以通過向員工群發電子郵件和收集外出通知來了解內部員工使用的電子郵件地址格式。

　　● 探索社交媒體：惡意行為者需要知道誰在目標公司工作。他們可以通過使用社交媒體來調查組織的結構，并決定挑選誰來實施他們的目標攻擊。

　　2魚叉式網絡釣魚攻擊示例

　　2020年9月初，Proofpoint透露，它檢測到了兩次涉及中國APT集團TA413的魚叉式網絡釣魚攻擊。第一次發生在3月份，目標是與經濟事務相關的歐洲政府實體、非營利研究組織和全球公司，誘使接受者打開世衛組織的“針對COVID-19的關鍵準備、準備和應對行動，臨時指導”文件。第二次以西藏異見人士為目標，發布了題為“攜帶槍支并會說中文的致命病毒襲擊藏人”的PowerPoint演示文稿。兩家公司都提供了名為“Sepulcher”的新infostealer家族的有效載荷。

　　不到一周后，Armorblox解釋說，它遇到了針對2019年世界50強創新公司之一的釣魚攻擊企圖。這封攻擊郵件使用了欺騙技術，讓收件人誤以為郵件中含有一份內部財務報告。該活動的附件隨后將收件人重定向到一個虛假的Office 365登錄頁面，該頁面顯示了他們預先輸入的用戶名，從而進一步偽裝門戶是公司內部資源。

　　3如何防范魚叉式網絡釣魚

　　為了防止這種類型的騙局，組織應該進行持續的員工安全意識培訓，包括防止用戶在社交媒體上發布敏感的個人或公司信息。公司還應該投資于分析入站電子郵件已知的惡意鏈接和電子郵件附件的解決方案。這個解決方案應該能夠識別已知的惡意軟件和零日威脅的指標。

　　三、CEO欺詐

　　魚叉釣魚者可以瞄準組織中的任何人，甚至高管。這就是“捕鯨”攻擊背后的邏輯。在這些騙局中，欺詐者試圖魚叉攻擊高管和竊取他們的登錄信息。

　　一旦他們的攻擊被證明是成功的，欺詐者可以選擇對CEO進行欺詐。作為商業電子郵件入侵（BEC）騙局的第二階段，CEO欺詐是指攻擊者濫用被入侵的首席執行官或其他高級管理人員的電子郵件帳戶，授權欺詐電匯到他們選擇的金融機構?；蛘?，他們可以利用同一個電子郵件賬戶進行W-2網絡釣魚，要求所有員工提供W-2信息，以便他們可以代表自己提交虛假的納稅申報單或將數據發布到暗網上。

　　1捕鯨技術

　　捕鯨攻擊通常使用與魚叉式網絡釣魚相同的技術。也有一些額外的戰術，惡意攻擊者可以使用：

　　滲透網絡：被入侵的高管賬戶比被欺騙的電子郵件賬戶更有效。正如Varonis所指出的，數字攻擊者因此可以使用惡意軟件和rootkit來滲透他們目標的網絡。

　　電話跟進：英國國家網絡安全中心（NCSC）了解到幾個例子，攻擊者在一封捕鯨電子郵件之后，通過電話確認了郵件請求。這種社會工程策略有助于減輕目標對可能發生可疑事件的擔憂。

　　追蹤供應鏈：NCSC見證了越來越多的惡意行為者利用目標供應商和供應商的信息，讓他們的捕鯨電子郵件看起來像是來自值得信任的合作伙伴。

　　2捕鯨攻擊案例

　　早在2016年5月，Infosecurity雜志報道了奧地利航空制造商FACC解雇其CEO的決定。該組織的監事會表示，之所以做出這一決定，是因為前CEO“嚴重違反了職責，特別是與‘假總統事件’有關的”。那起事件似乎是一起捕鯨攻擊，惡意行為者從該公司竊取了5000萬歐元。

　　三年多后，立陶宛人Evaldas Rimasoskas因從兩家美國大公司盜取1.22億美元而被判處五年有期徒刑。據Naked Security 2019年12月的報道，Rimasauskas在2013年和2015年以一家合法的臺灣公司名義發出假發票，對兩家公司發動了捕鯨攻擊。

　　3如何抵御捕鯨

　　捕鯨攻擊之所以奏效，是因為高管們通常不與員工一起參加安全意識培訓。為了應對CEO欺詐和W-2網絡釣魚的威脅，組織應該要求所有公司人員——包括高管不斷參加安全意識培訓。

　　組織還應該考慮在其財務授權過程中引入多因素認證（MFA）通道，這樣任何人都不能僅通過電子郵件授權付款。

　　四、Vishing

　　到目前為止，已經討論了大部分僅依靠電子郵件作為通信手段的攻擊。電子郵件無疑是網絡釣魚者的流行工具。即便如此，行騙者有時也會轉向其他媒體來實施攻擊。

　　以釣魚為例。這種攻擊無需發送電子郵件，而是通過打電話進行攻擊。正如Comparitech所指出的，攻擊者可以通過建立一個VoIP服務器來模擬不同的實體來實施釣魚活動，從而竊取敏感數據或資金。

　　1VISTING中使用的技術

　　以下是惡意攻擊中使用的一些常用技術：

　　“The mumbletechniqu”：數字攻擊者通常會采用獨特的戰術去追蹤特定的目標。據Social-Engineer.LLC報道，當惡意行為者試圖以客戶服務代表或呼叫中心座席為目標時，他們可能會使用所謂的“the mumble technique”來含糊地回答問題，希望他們的“回答”就足夠了。

　　技術術語：Social-Engineer.LLC指出如果惡意參與者的目標是一個公司的員工，他們可能會冒充內部技術支持，使用技術術語，暗示速度問題和落款等問題，以說服員工相信他們交出信息。

　　身份欺騙：通過這種策略，惡意行為者偽裝他們的電話號碼，使他們的電話看起來像是從目標的區號中的合法電話號碼打來的。Twinstate指出，這種技術可能會使目標產生一種錯誤的安全感。

　　2惡意攻擊實例

　　2020年9月中旬，醫療保健組織SpectrumHealth System發布了一份聲明，警告患者和優先健康成員警惕病毒攻擊。這一警告表明，那些應對攻擊負責的人偽裝成Spectrum Health或Priority Health的員工。他們利用這種偽裝，試圖迫使個人交出他們的信息、資金或賬戶訪問權限。

　　不到兩周后，WFXRtw.com上出現了一篇報道，蒙哥馬利縣官員在報道中警告弗吉尼亞州社區的居民要小心涉及社保號碼的詐騙。該報告特別強調了進行惡意攻擊的欺詐者激增，他們通知居民，他們的社保號碼被暫停，除非他們核實了自己的數據，否則他們的銀行賬戶將被沒收。

　　3如何防范網絡釣魚

　　為了防止網絡釣魚攻擊，用戶應避免接聽未知電話號碼的電話，絕不在電話上透露個人信息，并使用來電顯示應用程序。

　　五、釣魚短信

　　Vishing并不是數字欺詐者使用手機進行的唯一類型的網絡釣魚。他們也可以進行被稱為smishing的行為，這種方法利用惡意短信誘使用戶點擊惡意鏈接或交出個人信息。

　　1 Smishing所使用的技術

　　觸發惡意應用程序下載：攻擊者可以使用惡意鏈接在受害者的移動設備上自動下載惡意應用程序。這些應用可以部署勒索軟件，或者讓參與者遠程控制他們的設備。

　　鏈接到數據竊取表單：攻擊者可以利用文本消息和欺騙性網絡釣魚技術欺騙用戶點擊惡意鏈接。然后將他們重定向到一個旨在竊取他們個人信息的網站。

　　指示用戶聯系技術支持：使用這種類型的攻擊策略，惡意參與者發送文本消息，指示收件人聯系一個客戶支持號碼。然后，騙子將偽裝成合法的客戶服務代表，并試圖誘騙受害人交出個人資料。

　　2 Smishing攻擊示例

　　9月中旬，一場以美國郵局（USPS）為誘餌的釣魚活動浮出水面。該行動的攻擊短信通知收件人，他們需要查看一些關于即將到來的USPS交付的重要信息。點擊這個鏈接，他們就會到達不同的地點，其中包括一個假的賭場游戲，以及一個用來盜取訪客谷歌賬戶憑證的網站。

　　不久之后，Naked Security發布了一份關于針對蘋果粉絲的網絡釣魚活動的報告。這些短信看起來像是打錯了號碼，他們用一個假冒的蘋果聊天機器人通知收件人，他們贏得了參加蘋果2020年測試計劃的機會，并測試了新款iPhone 12。這場運動最終要求受害者支付送貨費。實際上，該操作只是使用一個偽造的門戶網站來竊取受害者的支付卡憑據。

　　3 如何防止Smishing

　　用戶可以通過徹底調查未知的電話號碼，并在有任何疑問的情況下致電郵件中指定的公司，來幫助抵御攻擊。

　　六、Pharming

　　隨著用戶對傳統網絡釣魚詐騙越來越明智，一些欺詐者正在完全放棄“誘餌”受害者的想法。取而代之的是，采用欺騙手段。

　　1 Pharming技術

　　惡意電子郵件代碼：在這種欺騙攻擊的變體中，惡意參與者發送的電子郵件包含修改收件人計算機上主機文件的惡意代碼。這些修改后的主機文件會將所有url重定向到攻擊者控制下的網站，以便安裝惡意軟件或竊取受害者的信息。

　　針對DNS服務器：惡意參與者可能會選擇跳過針對單個用戶的計算機，直接攻擊DNS服務器。這可能會危及數百萬網絡用戶的URL請求。

　　2 Pharming攻擊實例

　　早在2014年，Cymru團隊就透露，他們在2013年12月發現了一起騙術攻擊。這一行動影響了總部設在歐洲和亞洲的30多萬小型企業和家庭辦公室路由器。最終，該活動使用中間人（MitM）攻擊來覆蓋受害者的DNS設置，并將URL請求重定向到攻擊者控制下的站點。

　　一年后，Proofpoint透露，它發現了一場主要針對巴西用戶的釣魚活動。這次行動使用了嵌入在釣魚電子郵件中的四個不同的URL來攻擊UT Starcom和TP-Link路由器的所有者。每當收件人單擊其中一個URL時，該活動就會將其發送到一個網站，該網站旨在對目標路由器中的漏洞執行跨站點請求偽造（CSRF）攻擊。成功利用該漏洞可使惡意攻擊者執行MITM攻擊。

　　3 如何防御Pharming

　　為了防止惡意攻擊，組織應該鼓勵員工僅在受HTTPS保護的站點上輸入登錄憑據。還應該在所有公司設備上部署防病毒軟件，并定期更新病毒數據庫。最后，應該掌握由可信的互聯網服務提供商（ISP）發布的安全升級。

　　通過參考這些vfyy，組織將能夠更快地發現一些最常見的網絡釣魚攻擊類型。即便如此，這并不意味著他們能夠發現每一個釣魚網絡。網絡釣魚正在采用新的形式和技術不斷演變。

　　考慮到這一點，組織必須持續進行安全意識培訓，以便他們的員工和高管能夠掌握網絡釣魚的發展。