网络钓鱼攻击的9种类型以及如何识别它们
您了解捕鲸和克隆网络钓鱼中的鱼叉式网络钓鱼和电话钓鱼吗?本文将解释如何识别每种类型的威胁,因为AI开创了冒充诈骗的深度伪造时代。
Credit: JLStock / Shutterstock
每一次数据泄露和在线攻击似乎都涉及某种网络钓鱼尝试,以窃取密码凭据、发起欺诈交易或诱骗某人下载恶意软件。事实上,Verizon的2024年数据泄露调查报告发现,网络钓鱼仍然是与泄露相关的主要威胁行为之一。
企业会定期提醒用户提防网络钓鱼攻击,但许多用户并不真正知道如何识别它们。而人类往往不善于识别骗局。
根据Proofpoint的2024年网络钓鱼状况报告,超过70%的员工承认存在使他们容易受到攻击的危险行为。这既说明了攻击者的老练,也说明了对同样复杂的安全意识培训的需求,而许多公司未能充分提供这些培训。再加上并非所有网络钓鱼诈骗的运作方式都相同——有些是通用的电子邮件群发,而另一些则是精心设计的,以非常特定类型的人为目标——并且训练用户知道消息何时可疑变得越来越困难。
让我们看看不同类型的网络钓鱼攻击以及如何识别它们。
01、网络钓鱼Phishing:大众市场电子邮件
常见的网络钓鱼形式是一般的群发邮件类型,即有人冒充其他人发送电子邮件,并试图诱骗收件人做某事,通常是登录网站或下载恶意软件。攻击通常依赖于电子邮件欺骗,其中电子邮件标头(发件人字段)是伪造的,使邮件看起来像是由受信任的发件人发送的。
但是,网络钓鱼攻击并不总是看起来像UPS递送通知电子邮件、PayPal发送的有关密码过期的警告消息或有关存储配额的Office365电子邮件。一些攻击是专门针对组织和个人的,而另一些则依赖于电子邮件以外的方法。随着生成式AI的兴起,网络钓鱼尝试变得越来越“极具说服力”,并且可以更快地创建,这表明旧的诈骗方式正在获得新的生命。
02、鱼叉式网络钓鱼Spear phishing:针对特定目标
网络钓鱼攻击得名于这样一种观念,即欺诈者通过使用欺骗性或欺诈性电子邮件作为诱饵来寻找随机受害者。鱼叉式网络钓鱼攻击扩展了钓鱼的范围 ,因为攻击者专门针对高价值的受害者和组织。攻击者可能会发现,与其试图为1,000名消费者获取银行凭证,不如以少数企业为目标更有利可图。民族国家攻击者可能会以为其他政府机构工作的员工或政府官员为目标,以窃取国家机密。例如,伊朗网络间谍组织APT42以使用复杂的鱼叉式网络钓鱼技术而闻名,这些技术涉及冒充受害者已知或感兴趣的多个组织和个人。
鱼叉式网络钓鱼攻击非常成功,因为攻击者花费了大量时间来制作特定于收件人的信息,例如引用收件人可能刚刚参加的会议,或者发送文件名引用收件人感兴趣的主题的恶意附件。
在2017年的网络钓鱼活动中,Group74(又名Sofact、APT28、FancyBear)向网络安全专业人员发送了一封电子邮件,假装与美国网络冲突会议有关,该会议由美国军事学院的陆军网络研究所、北约合作网络军事学院和北约合作网络防御卓越中心组织。虽然CyCon是一个真实的会议,但附件实际上是一个包含恶意VisualBasicforApplications(VBA)宏的文档,该将下载并执行名为Seduploader的侦察恶意软件。
03、捕鲸Whaling:追捕大鲸鱼
不同的受害者,不同的发薪日。专门针对企业高层管理人员的网络钓鱼攻击称为捕鲸,因为受害者被认为具有很高的价值,并且被盗信息将比普通员工可能提供的信息更有价值。属于CEO的帐户凭证将比入门级员工打开更多的大门。目标是窃取数据、员工信息和现金。
捕鲸还需要额外的研究,因为攻击者需要知道预期的受害者与谁交流以及他们进行的讨论类型。示例包括对客户投诉、法律传票的引用,甚至是高管套房中的问题。攻击者通常从社会工程开始,收集有关受害者和公司的信息,然后再精心制作将用于捕鲸攻击的网络钓鱼消息。
04、企业电子邮件泄露BEC:冒充CEO
除了大规模分布的一般网络钓鱼活动外,犯罪分子还通过商业电子邮件泄露(BEC)诈骗和CEO电子邮件欺诈以财务和会计部门的关键个人为目标。这些犯罪分子冒充财务官员和CEO,试图诱骗受害者向未经授权的账户转账。
通常,攻击者通过利用现有感染或通过鱼叉式网络钓鱼攻击来入侵高级管理人员或财务官的电子邮件帐户。攻击者潜伏并监控高管的电子邮件活动一段时间,以了解公司内部的流程和程序。实际的攻击采用虚假电子邮件的形式,看起来像是来自受感染高管的帐户,被发送给普通收件人。这封电子邮件似乎很重要且很紧急,它要求收件人向外部或不熟悉的银行账户发送电汇。这笔钱最终进入了攻击者的银行账户。
FBI 2022年的数据表明,尽管勒索软件兴起,但企业通过BEC攻击造成的损失总体上增加了51倍。BEC骗局最近也随着多阶段攻击而呈现出新的维度。因此,公司必须确保他们拥有全面的BEC政策文件,以帮助指导员工并通过遵循预定义的规则让他们感到更安全。
05、克隆网络钓鱼Clone phishing:当副本同样有效时
克隆网络钓鱼要求攻击者创建合法消息的几乎相同的副本,以诱骗受害者认为它是真实的。该电子邮件是从类似于合法发件人的地址发送的,并且邮件的正文看起来与之前的邮件相同。唯一的区别是邮件中的附件或链接已被恶意附件或链接换掉。攻击者可能会说一些类似必须重新发送原始版本或更新版本的内容,以解释为什么受害者再次收到“相同”消息。
这种攻击基于以前看到的合法消息,使用户更有可能受到攻击。已经感染了一个用户的攻击者可以使用此技术来攻击另一个同样收到正在克隆的消息的人。在另一种变体中,攻击者可能会创建一个带有欺骗域的克隆网站来欺骗受害者。
06、电话钓鱼Vishing:电话网络钓鱼
电话钓鱼代表“语音网络钓鱼”,它需要使用电话。通常,受害者会收到一个电话,其中包含伪装成金融机构通信的语音消息。例如,该消息可能会要求收件人拨打一个号码并输入他们的帐户信息或PIN,以用于安全或其他官方目的。但是,该电话号码会通过IP语音服务直接响铃给攻击者。
在2019年的一起复杂的电话钓鱼骗局中,犯罪分子打电话给受害者,假装是Apple技术支持,并为用户提供一个电话号码来解决“安全问题”。与旧的Windows技术支持骗局一样,这种骗局利用了用户对其设备被黑客入侵的恐惧。
鉴于AI能够越来越准确地通过音频深度伪造复制已知声音(见下文),AI的进步有望使电话钓鱼成为更阴险的攻击媒介。
07、短信钓鱼Smishing:通过短信进行网络钓鱼
短信钓鱼是“网络钓鱼”和“SMS”的合成词,后者是大多数电话短信服务使用的协议,是一种使用误导性短信欺骗受害者的网络攻击。目标是诱骗您相信消息来自受信任的个人或组织,然后说服您采取行动,为攻击者提供可利用的信息(例如,银行帐户登录凭据)或访问您的移动设备。
短信钓鱼呈上升趋势,因为人们比电子邮件更有可能阅读和回复短信:98%的短信被阅读,45%的短信被回复,而电子邮件的等效数字分别为20%和6%。用户通常不如计算机上的手机对可疑消息的警惕性,而且他们的个人设备通常缺乏公司PC上可用的安全类型。
2022年对澳大利亚迪肯大学的短信钓鱼攻击表明了这类攻击可能产生的影响。
08、雪鞋攻击Snowshoeing:传播有害信息
雪鞋攻击或“打了就跑”垃圾邮件要求攻击者通过多个域和IP地址推送邮件。每个IP地址发送的消息量较少,因此基于信誉或基于容量的垃圾邮件过滤技术无法立即识别和阻止恶意消息。一些邮件在过滤器学会阻止它们之前就进入了电子邮件收件箱。
Hailstorm活动的工作方式与snowshoe相同,只是消息是在极短的时间内发出的。一些冰雹攻击在反垃圾邮件工具流行并更新过滤器以阻止未来的邮件时结束,但攻击者已经转移到下一个活动。
09、深度伪造Deepfakes:基于AI的模拟
犯罪分子已经开始转向深度伪造来构建更令人信服的网络钓鱼攻击。为此,诈骗者使用人工智能在视频中交换面孔,或冒充声音来诱骗潜在商标进行公司欺诈转移,作为企业电子邮件泄露式欺诈的一部分。
在迄今为止最引人注目的深度伪造攻击之一中,设计和工程公司Arup的一名工人成为一种复杂的基于deepfake的骗局的受害者,导致2亿港元($25.6m)的损失。当该工作人员收到执行秘密事务的请求时,他最初起了疑心。然而,据新闻报道,这名员工在参加了一次视频通话后打消了他的疑虑,当时有深度伪造的“CFO”和公司的“其他员工”在场。
安全供应商WithSecure称,恶意行为者可以使用一系列原本合法的生成式AI工具,从其预期目标的录制语音摘录或照片中创建深度伪造。例如,FaceSwap可用于将目标的面部叠加在攻击者创建的视频上。同样,根据WithSecure的安全顾问TomTaylor-MacLean的说法,Microsoft的VASA-1框架可能被滥用于从单个肖像照片和语音音频样本中创建深度伪造视频。
学习识别不同类型的网络钓鱼
用户不善于理解遭受网络钓鱼攻击的影响。一个相当精明的用户可能能够评估点击电子邮件中链接的风险,因为这可能会导致恶意软件下载或后续索要钱财的诈骗消息。但是,天真的用户可能会认为什么都不会发生,或者最终收到垃圾邮件广告和弹出窗口。只有最精明的用户才能估计凭据盗窃和帐户泄露的潜在损害。这种风险评估差距使用户更难掌握识别恶意消息的严重性。
组织需要考虑现有的内部宣传活动,并确保为员工提供识别不同类型攻击的工具。组织还需要加强安全防御,因为一些传统的电子邮件安全工具(如垃圾邮件过滤器)不足以抵御某些网络钓鱼类型。
来源:https://www.csoonline.com/article/563353/8-types-of-phishing-attacks-and-how-to-identify-them.html
文章来源:安全光年
