網絡釣魚是一種網絡攻擊，它通過偽裝成合法網站或電子郵件來收集敏感信息，例如登錄憑據、信用卡號、銀行帳號或其他財務信息。 社會安全號碼、電話號碼和社交媒體帳戶信息等個人信息也是網絡犯罪分子進行身份盜竊的常見目標。網絡釣魚詐騙通過使用社會工程來制造緊迫感來欺騙受害者。一旦受害者打開網絡釣魚電子郵件或短信并單擊惡意鏈接，他們就會被帶到與合法網站匹配的虛假網站。

常見的網絡釣魚嘗試克隆金融機構、同事的電子郵件、拍賣網站、社交媒體網站和在線支付處理器。盡管網絡釣魚是最古老的網絡犯罪之一，但 對許多組織來說，網絡釣魚仍然是一個巨大的 網絡威脅。這是由于其廣泛使用和復雜的網絡釣魚活動。網絡釣魚者越來越多地收集有關其目標的信息，以提高其網絡釣魚消息的有效性。安全意識培訓是將網絡釣魚的網絡安全風險降至最低的好方法 。網絡釣魚電子郵件還可能包含受感染的附件，以安裝勒索軟件等 惡意軟件 或未經授權訪問 敏感數據，從而導致數據泄露。

重要的是要記住，一些最大的數據泄露 來自組織外部。如果您的第三方供應商可以訪問敏感數據，那么讓他們對員工進行網絡釣魚風險教育同樣重要。與網絡釣魚相關的第三方風險、第四方風險和供應商風險必須是您 的第三方風險管理框架 和 供應商風險管理 計劃的一部分。

網絡釣魚的目的是什么？

通常，網絡釣魚至少提供以下服務之一：

• 收集敏感信息： 旨在誘騙受害者泄露登錄憑據或暴露個人身份信息的可疑電子郵件。經典的網絡釣魚詐騙正在發送數百萬封量身定制的電子郵件，看起來像一家大型銀行。如果受害者點擊鏈接并登錄到網頁，釣魚者就可以訪問他們的銀行賬戶。
• 下載惡意軟件： 網絡釣魚者可能會將受感染的文件附加到電子郵件中以安裝惡意軟件或勒索軟件 。這是惡意軟件，利用不同的 漏洞 像 WannaCry。

有哪些不同類型的網絡釣魚攻擊？

雖然方法不同，但所有網絡釣魚都依賴于某種形式的偽裝。通常，使用的網絡釣魚攻擊類型取決于網絡釣魚者如何選擇目標。發送給數百萬潛在目標的網絡釣魚嘗試將針對 Microsoft、PayPal 或 Facebook 等流行品牌進行定制。相比之下，魚叉式網絡釣魚攻擊將高度針對特定組織或個人。

1. 什么是魚叉式網絡釣魚？

魚叉式網絡釣魚是針對特定個人或組織的電子郵件或電子通信。盡管魚叉式網絡釣魚通常用于獲取 敏感數據，但網絡犯罪分子也可能使用它在目標計算機上安裝惡意軟件。雖然魚叉式網絡釣魚比垃圾郵件網絡釣魚花費更多的時間和精力，但由于網絡釣魚郵件中存在個人信息，它大大增加了成功的可能性。

2.什么是捕鯨？

捕鯨是一種針對高級管理人員或知名目標的魚叉式網絡釣魚形式。鯨魚獵人的網絡釣魚郵件針對個人及其在組織中的角色。例如，捕鯨攻擊可能以 CEO 發出虛假請求的形式出現，要求支付 AWS 賬單并通過電子郵件發送給 CTO。捕鯨的共同目標是公司董事會成員。這是因為董事會成員擁有很大的權力，但不是全職員工。他們也可能使用個人電子郵件而不是公司帳戶，后者可能沒有反網絡釣魚功能。

3. 什么是克隆網絡釣魚？

克隆網絡釣魚是一種網絡釣魚形式，其中合法且以前傳遞的電子郵件用于創建幾乎相同的網絡釣魚電子郵件。在網絡釣魚電子郵件中，電子郵件中的附件或鏈接被替換為惡意版本。然后，它是從一個旨在看似來自原始發件人的欺騙性電子郵件中發送的。它甚至可能聲稱是原始電子郵件/附件的后續版本或更新版本。這要求網絡釣魚者有權訪問發件人或收件人的收件箱，以獲取要克隆的合法電子郵件。

4.什么是Vishing？

網絡釣魚或語音網絡釣魚是通過電話進行的，通常針對 Skype 等 IP 語音 (VoIP) 服務的用戶。技術的改進使詐騙者更容易欺騙來電顯示，因此它可以從本地區號甚至是受信任的組織中出現。Vishing 與語音深度偽造相結合是一個巨大的 網絡安全風險。據 《華爾街日報》報道，一家英國能源公司的首席執行官向攻擊者的銀行賬戶發送了 243,000 美元，并認為攻擊者正在與老板通電話。

5.什么是Smishing？

Smishing 或 SMS 網絡釣魚是通過 SMS 進行的網絡釣魚。就像電子郵件網絡釣魚一樣，smishing 消息通常包括威脅或誘使單擊鏈接或撥打電話以產生緊迫感并提高成功的可能性。

6. 什么是鏈接操作？

鏈接操縱是一種網絡釣魚形式，它試圖使惡意鏈接看起來像是屬于欺騙組織的。網絡釣魚者經常使用拼寫錯誤的URL和子域。鏈接操作的另一種形式是更改為鏈接顯示的文本，以提示其來自可靠的目的地，同時指向網絡釣魚站點。大多數桌面客戶端允許您通過將鼠標懸停在鏈接上來預覽鏈接。然而，攻擊者可以覆蓋此功能，并且許多智能手機沒有預覽功能。國際化域名 (IDN) 欺騙是鏈接操縱的另一種形式。它涉及使用幾乎相同的字符來模仿合法站點的 URL。SSL 證書并不能解決這個問題，因為網絡釣魚者通常可以購買有效證書并隨后更改內容以欺騙正版網站。

7. 什么是過濾規避？

過濾器規避是網絡釣魚的一種形式，其中網絡釣魚者使用圖像來避免反網絡釣魚過濾器。過濾器規避背后的想法是電子郵件客戶端很難閱讀圖像并且非常擅長閱讀純文本。隨著電子郵件客戶端變得越來越復雜并開發出在圖像中使用光學字符識別 (OCR) 的反網絡釣魚過濾器，這種風險變得越來越小。

8. 什么是網站偽造？

網站偽造使用 JavaScript 來更改地址欄，因此很難知道您是否在網絡釣魚網站上。攻擊者可能會在地址欄上放置合法 URL 的圖像，或者關閉原始欄并打開一個具有合法 URL 的新地址欄，而不會重定向到虛假站點。受信任網站中的安全漏洞可能導致跨站點腳本 (XSS) 攻擊。這是特別危險的，因為用戶可以導航到正確的站點并且仍然處于危險之中。

9. 什么是隱蔽重定向？

隱蔽重定向是一種網絡釣魚形式，它使鏈接看起來合法，但會將受害者重定向到網絡釣魚者的站點。隱蔽重定向很難發現，因為受害者可能正在瀏覽合法網站并提供來自瀏覽器擴展或其他網絡攻擊的惡意登錄彈出窗口。例如，您可能單擊以 Facebook 開頭的惡意鏈接。彈出窗口詢問您是否要授權該應用程序。如果您選擇授權該應用程序，則會向攻擊者發送一個令牌，并且您的 個人身份信息 (PII) 可能會被泄露。這可能包括電子郵件地址、出生日期、聯系方式和工作經歷。它甚至可能使攻擊者控制您的帳戶。即使您未授權該應用程序，您仍可能被重定向到網絡釣魚網站。

10. 什么是藥學？

Pharming 是一種網絡釣魚攻擊，它依賴于一種 稱為 DNS 緩存中毒的中間人攻擊形式， 即使用戶輸入了正確的域名，也會將用戶從合法站點重定向到網絡釣魚站點。

11. 什么是 Tabnabbing？

Tabnabbing 是一種網絡釣魚攻擊，它使用非活動選項卡和瀏覽器在非活動選項卡中導航的能力。攻擊者使非活動選項卡重定向到釣魚網站，然后等待用戶導航回該選項卡。如果用戶打開受感染的選項卡并登錄，他們的憑據將被暴露。如果攻擊者能夠檢查用戶在其非活動選項卡中擁有的知名網站，則 Tabnabbing 可以非常成功。一旦檢測到，攻擊者可以將選項卡替換為與原始站點相同的網絡釣魚登錄頁面。Tabnabbing 與網站偽造不同，不一定需要啟用 JavaScript。攻擊者可以使用 meta refresh 元元素，這是一個 HTML 屬性，可在給定時間后重新加載新頁面。