软件|什么是网络钓鱼攻击? 发票|网络安全

网络钓鱼是一种社会工程攻击，通常用于窃取用户数据，包括登录凭据和信用卡号。当攻击者伪装成受信任的实体，欺骗受害者打开电子邮件、即时消息或文本消息时，就会发生这种情况。然后，收件人会被诱骗点击恶意链接，这可能会导致安装恶意软件、作为勒索软件攻击的一部分冻结系统或泄露敏感信息。
一次攻击可能会产生毁灭性的后果。对于个人而言，这包括未经授权的购买、窃取资金或身份盗窃。
此外，网络钓鱼通常用于在企业或政府网络中站稳脚跟，作为更大攻击的一部分，例如高级持续威胁（APT）事件。在后一种情况下，员工会受到威胁，以绕过安全边界、在封闭环境中分发恶意软件或获得对安全数据的特权访问。除了市场份额、声誉和消费者信任度下降之外，遭受此类攻击的组织通常还会遭受严重的财务损失。根据范围的不同，网络钓鱼尝试可能会升级为安全事件，企业将难以从中恢复。
网络钓鱼攻击示例
以下说明了一种常见的网络钓鱼诈骗尝试：
一封表面上来自myuniversity.edu 的伪造电子邮件被大量分发给尽可能多的教职员工。
什么是网络钓鱼攻击？
该电子邮件声称用户的密码即将到期。给出了在 24 小时内访问 myuniversity.edu/renewal更新密码的说明。
单击链接可能会发生多种情况。例如
用户被重定向到 myuniversity.edurenewal.com ，这是一个与真正的续订页面完全一样的虚假页面，其中要求新密码和现有密码。攻击者监控页面，劫持原始密码以访问大学网络上的安全区域。
用户被发送到实际的密码更新页面。但是，在重定向时，恶意脚本会在后台激活以劫持用户的会话 cookie 。这会导致反射型 XSS 攻击，使犯罪者获得访问大学网络的特权。
网络钓鱼技术
电子邮件网络钓鱼诈骗
电子邮件网络钓鱼是一种数字游戏。发送数千条欺诈性消息的攻击者可以获取大量信息和金钱，即使只有一小部分收件人会被骗。如上所述，攻击者可以使用一些技术来提高成功率。
一方面，他们会不遗余力地设计网络钓鱼邮件，以模仿来自欺骗组织的实际电子邮件。使用相同的措辞、字体、徽标和签名使消息看起来合法。
此外，攻击者通常会试图通过制造紧迫感来促使用户采取行动。例如，如前所述，电子邮件可能会威胁到账户到期并将收件人置于计时器上。施加这样的压力会导致用户不够勤奋并且更容易出错。
最后，邮件中的链接类似于它们的合法链接，但通常有拼写错误的域名或额外的子域。在上面的示例中，myuniversity.edu/renewal URL 更改为 myuniversity.edurenewal.com 。两个地址之间的相似性给人以安全链接的印象，使接收者不太了解正在发生攻击。
鱼叉式网络钓鱼
鱼叉式网络钓鱼针对特定的个人或企业，而不是随机的应用程序用户。这是一种更深入的网络钓鱼版本，需要了解组织的特殊知识，包括其权力结构。
攻击可能如下进行：
肇事者研究组织营销部门员工的姓名并获得最新的项目发票。
攻击者冒充营销总监，向部门项目经理（PM）发送电子邮件，主题行为“更新 Q3 活动的发票” 。文本、样式和包含的徽标复制了组织的标准电子邮件模板。
电子邮件中的链接重定向到受密码保护的内部文档，实际上是被盗发票的伪造版本。
要求 PM 登录以查看文档。攻击者窃取他的凭据，获得对组织网络内敏感区域的完全访问权限。
通过向攻击者提供有效的登录凭据，鱼叉式网络钓鱼是执行 APT 第一阶段的有效方法。
如何防止网络钓鱼
网络钓鱼攻击防护需要用户和企业都采取措施。
对于用户来说，警惕是关键。欺骗性消息通常包含暴露其真实身份的微妙错误。这些可能包括拼写错误或域名更改，如前面的 URL 示例所示。用户也应该停下来想想为什么他们甚至会收到这样的电子邮件。
对于企业而言，可以采取多种措施来缓解网络钓鱼和鱼叉式网络钓鱼攻击：
双因素身份验证（2FA）是抵御网络钓鱼攻击的最有效方法，因为它在登录敏感应用程序时添加了额外的验证层。 2FA 依赖于用户拥有两件事：他们知道的东西，例如密码和用户名，以及他们拥有的东西，例如他们的智能手机。即使员工受到威胁， 2FA 也会阻止使用他们被泄露的凭证，因为仅凭这些不足以进入。