来源:https://blog.syscloud.com/types-of-phishing/
https://www.csoonline.com/article/2117843/what-is-phishing-how-this-cyber-attack-works-and-how-to-prevent-it.html#:~:text=Phishing%20is%20a%20cyber%20attack%20that%20uses%20disguised,to%20click%20a%20link%20or%20download%20an%20attachment.
https://www.csoonline.com/article/3235520/15-real-world-phishing-examples-and-how-to-recognize-them.html#slide5
一、网络钓鱼是如何开始的?
网络钓鱼是黑客历史上发展最快的一种。不同类型的钓鱼攻击在互联网上迅速蔓延。下面是它是如何进化的。
(1)1990:算法钓鱼
美国在线(AOL)在20世纪90年代早期提出了网络钓鱼的概念。
在此期间,第一批网络钓鱼者创造了一种生成随机信用卡号码的算法,以便从AOL账户中获得与原始信用卡相匹配的信息。
一旦匹配成功,钓鱼者就会访问这些数据进行操作。
1995年之后,当美国在线发现了这个骗局时,网络钓鱼者已经转向了更新的技术。
(2)2000:电子邮件网络钓鱼
下一代钓鱼者更先进,更精通技术。
他们选择了一种成本较低、易于创建和追踪的网络钓鱼方式:电子邮件网络钓鱼。
起初,这些电子邮件的结构很差——有很多语法错误——但在2003年,一个想法改变了网络钓鱼的世界。
(3)2003:域名欺骗
钓鱼者开始购买听起来类似yahoo-info.com和manager-apple.com等知名域名的域名。
使用这些域名,他们发送复杂的直接电子邮件。
同年,Paypal 受到攻击,用户收到一封钓鱼邮件,要求他们验证证书,危及他们的帐户。
(4)2018:通过HTTPS进行网络钓鱼
以前,网络钓鱼主要通过两种方式进行:电子邮件钓鱼和域名欺骗。
随着时间的推移,骗子们发明了新型的网络钓鱼来发动攻击。本文将为您提供各种类型的钓鱼攻击的完整概述。
二、网络钓鱼是什么?
网络钓鱼是一种网络犯罪,骗子通过假冒一个已知的个人或商业伙伴或服务提供商,向个人或任何组织的大量用户发送恶意电子邮件。
网络钓鱼:将钓鱼中的“f”换成“ph”,这与上一代黑客的术语“phreaks”有关。
这些邮件都是精心制作的,这样你打开时不会有任何怀疑。
这些类型的网络钓鱼攻击为攻击者进入您的系统打开了大门,并访问机密数据,如银行账户信息、信用卡号码、社会安全号码、密码等。
一旦信息被获取,钓鱼者就会立即将其发送或出售给滥用信息的人。
有时,网络钓鱼不仅导致信息丢失,而且还将病毒注入受害者的电脑或手机。
一旦感染病毒,钓鱼者就可以控制设备,通过设备他们可以向通过服务器连接的其他人发送电子邮件和消息。
三、5种网络钓鱼
根据钓鱼通道的不同,可以将钓鱼攻击的类型分为以下几类:
1. Vishing
Vishing指通过电话进行的网络钓鱼。因为语音被用于这种类型的网络钓鱼,所以它被称为vishing→语音+网络钓鱼=vishing(vishing → voice + phishing = vishing)。
考虑到社交网络中可用数据的易用性和海量性,钓鱼者以朋友、亲戚或任何相关品牌的名义自信地进行交流,而不会引起任何怀疑也就不足为奇了。
2. Smishing
SMS phishing(短信诈骗) 或SMiShing是最容易的一种类型的钓鱼攻击。
用户通过使用SMS告警成为目标。
在发送短信时,用户可能会收到一个虚假的DM或带有取消链接的虚假订单信息。
这个链接实际上是一个用来收集个人信息的假页面。
3.搜索引擎网络钓鱼
搜索引擎钓鱼(Search engine phishing)是指针对特定的关键词创建虚假网页,等待搜索者登陆到虚假网页上的钓鱼行为。
一旦一个搜索者点击了页面链接,他将永远不会意识到他已经上钩了,直到为时已晚。
4. 鱼叉式网络钓鱼
传统的钓鱼向数以百万计的未知的用户发送邮件。鱼叉式网络钓鱼通常是有针对性的,并且电子邮件是针对特定用户的精心设计。
这些攻击的风险更大,因为钓鱼者会通过用户的社交媒体资料和公司网站对用户及其组织进行完整的社交资料研究。
在不同类型的网络钓鱼攻击中,鱼叉式网络钓鱼是最常用的一种网络钓鱼攻击——针对个人用户和组织。
5. 捕鲸
捕鲸与鱼叉式网络钓鱼并没有太大的不同,但在这种类型的网络钓鱼攻击中,目标群体变得更加具体和有限。
这种技术针对的是首席执行官、首席财务官、首席运营官等c级职位,或者其他任何高级管理职位,这些职位被认为是任何组织信息链上的大玩家,在钓鱼术语中通常被称为“鲸鱼”。
技术、银行和医疗保健是钓鱼攻击的主要目标。这主要是因为两个因素:庞大的用户数量和对数据的高度依赖。
以下是一些你应该采取的基本步骤,以阻止主要类型的网络钓鱼攻击:
(1)为你的电子邮件网络创建多级防御。
(2)任何网络钓鱼攻击只有在目标受害者点击某个链接时才能成功。因此,提高员工和其他用户对网络中钓鱼攻击类型的认识和教育是防止钓鱼攻击的最佳方法。
四、钓鱼攻击的类型
根据APWG的报告,2017年10月至2018年3月,独特的钓鱼网站数量已达到73.80%。
报告的钓鱼事件中有48.60%使用了“.COM”域名。
不是震惊吗?
我们假设与我们互动的域名和网站是安全的,但黑客确实用不同类型的钓鱼攻击欺骗我们,通过假冒域名和克隆网站。
诈骗者利用社会工程来了解潜在受害者的在线行为和偏好。
这有助于他们精心策划一次复杂的攻击。
1. 电子邮件欺骗-假冒姓名(Name Impersonation)
电子邮件欺骗是一种最简单的网络钓鱼,用来在用户不知情的情况下获取数据。
它可以通过不同的方式实现:
(1)用一个熟悉的用户名发一封邮件,
(2)冒充你的上司发邮件询问一些重要数据,或者更糟,
(3)冒充组织的身份,并要求员工共享内部数据。
下面是一个例子。
电子邮件中的行动号召是点击链接并登录查看文档。
只要看到公司的名字和行动的紧迫性,一些用户就会点击链接。
与其他类型的网络钓鱼攻击相比,电子邮件欺骗攻击的目标集中且结构完善:
“谁是目标?
内容应该是什么?
哪一种行为的转化率更高?”
用这些细节制作的电子邮件更有可能被打开和被钓鱼。
如何防止电子邮件钓鱼?
防止这些攻击的最好方法是仔细阅读发件人的电子邮件地址。如果你不确定电子邮件地址的字符,复制并粘贴到记事本中,检查数字或特殊字符的使用情况。你也可以在Gmail和Outlook上配置安全设置。
2. 大众目标品牌模仿
大众目标品牌网络钓鱼攻击(Mass phishing attacks)是发送给一群有共同兴趣的人的电子邮件,这些人基于他们的品牌偏好、人口特征和选择。
在大众目标品牌网络钓鱼攻击中,发送给潜在受害者的电子邮件是收据、付款提醒或礼品卡等交易性电子邮件的克隆。
这是一个针对花旗银行客户的品牌模仿例子。
网络钓鱼者将品牌作为大规模攻击的武器,因为品牌在目标受害者中有很高的可信度。
如何防止大众目标品牌网络钓鱼攻击?
检查你是否被标记在收到邮件的“收件人”部分或“抄送人”部分。避免回复标记为由一群不认识的人发送给你的邮件。
3.URL钓鱼
在URL钓鱼攻击中,骗子使用钓鱼页面的URL来感染目标。
这有较高的点击率,因为:
人们有足够的“社交性”去点击陌生人发送的链接,
他们准备接受朋友请求和消息- DM链接或电子邮件通知,以及
他们甚至准备好分享他们的电子邮件和联系方式。
(1)Hidden link 隐藏的链接
用钓鱼诱饵钓人的一种方法是使用隐藏的链接。我们都收到过带有动作短语“点击这里”或“立即下载”或“订阅”的电子邮件。
这些都是隐藏链接的例子,这使得骗子更容易发动网络钓鱼攻击。
在上面提到的例子中,骗子以“富国银行”的名义发送了一封电子邮件,并让客户点击隐藏的“点击这里”链接来检查服务提供,这直接指向了攻击者的页面。
(2)微小的URL
另一种隐藏钓鱼链接的方法是使用TinyURL等链接缩短工具来缩短URL,使其看起来真实可信。
(3)拼写错误的URL
网络钓鱼者使用的不是小型url,而是拼写错误的url。
黑客会购买听起来与流行网站相似的域名。
然后,他们通过创建一个相同的网站来欺骗用户,并要求目标用户通过提交个人信息来登录。
在下面的例子中,你可以看到一个人们很容易忽略的拼写错误:“www.citiibank.com…”而不是“www.citibank.com…”
(4)同形异义字攻击
同形文字攻击包括使用看起来相似的单词——字符或组合——很容易被误读。
这是一个例子。
在这个例子中,你可能会认为这个服务看起来是真的,但当你点击这个链接时,你会被重定向到“arnazon.com”,而不是“amazon.com”,它属于攻击者。
一旦你登陆攻击者的网站,虚假页面会提示你输入登录凭证或财务数据,如信用卡信息或其他个人身份信息。
如何防止网络钓鱼?
将鼠标悬停在附加的链接上。完整的链接将显示在笔记本电脑的屏幕上。如果链接是不同的或似乎是欺诈,不要点击它!如果是移动设备,按下并按住链接,附加的链接将显示为一个带有可操作选项的弹出窗口。
4. 子域名的攻击
这些类型的网络钓鱼诈骗针对非技术人员。
骗子利用不了解域和子域之间的区别来发动钓鱼攻击。
什么是子域名攻击?
假设您收到一封来自您的公司www.organizationname.com或一位同事的电子邮件id [email protected]的电子邮件。
该电子邮件指示您单击给定的链接www.organizationname.support.com并登录以访问数据以生成紧急报告。
你会怎么做?
你会点击链接,最终会危及你的证书!
下面是一个例子。
您可以看到发件人的域名是“linkedin.example.com”——这意味着子域名是example 域下的linkedin。
为什么子域名攻击如此难以发现?
这是因为任何人都可以使用任何已知的域作为子域名。
大多数人可能没有意识到域名和子域名之间的区别。
5. 弹出消息:会话中的网络钓鱼
弹出式信息是成功进行钓鱼活动的最简单方法。
通过弹出消息,攻击者获得一个窗口,通过将登录凭证重定向到一个假网站来窃取登录凭证。
这种网络钓鱼技术也称为“会话式网络钓鱼”。
请看下面给出的弹出窗口。
在这个例子中,前台的弹出窗口是否合法,足以误导客户?
如何防止网络钓鱼?
目前,我们唯一的防范措施是浏览器扩展和不同应用商店设置中的弹出窗口拦截器。如果你的数据非常重要,你应该选择一个安全软件,它可以一次性阻止所有这些威胁,以防止任何类型的数据安全漏洞。
6. Search Engine Attack搜索引擎攻击
网络钓鱼者运行一个付费的活动,优化某些关键字,以发动网络钓鱼骗局。
这是一个精心策划的攻击,看起来完全合法。
钓鱼者用“独家优惠”作为诱饵创建假网站-这看起来太好了,难以置信!
当用户偶然发现这些虚假网站时,他们会被骗分享自己的信息,以获得优惠。
在下面的例子中,广告上写着“完整版& 100%免费!”
下面给出了一个类似的例子,在“区块链”的搜索结果中,一个虚假的网页显示在搜索结果的顶部——骗子付钱让它出现在第一个结果中。
这个例子没有说明任何提议,但是它通过声称自己是“官方站点”来获取用户的信任。
如何防止SEO网络钓鱼?
避免搜索引擎攻击的最好方法是避开显示在付费结果部分的广告——寻找网站链接旁边显示的“广告”标签,它通常出现在搜索结果的最顶部。此外,如果您知道URL,那么尝试在任何可能的情况下输入它。
7. Website Spoofing网站欺骗
网站欺骗类似于电子邮件欺骗,尽管它需要攻击者付出更多的努力。
如何进行网站欺骗?
钓鱼者通过复制合法网站的设计、内容和用户界面来发布网站。
一些骗子还使用URL缩短工具为假网站创建一个类似的URL。
这是一个模仿美国银行网站的网站欺骗攻击的例子:
最好的做法是自己输入整个链接,而不是从其他地方复制粘贴链接。
如何防止假冒网站攻击?
第三方工具如SysCloud的钓鱼保护提供了最好的安全性,以抵御各种欺骗攻击。作为他们服务的一部分,所有可疑的网站不仅会被屏蔽,还会报告给用户。
8. 脚本
脚本或跨站点脚本(XSS)使用恶意脚本部署在受害者的电脑或电话上,使用电子邮件作为媒介。
由于大多数web页面都使用JavaScript编写脚本,因此黑客更容易发起脚本攻击。
黑客会感染一个合法网站的脚本(你经常访问的网站,通过社会工程识别),这个脚本会将你重定向到一个钓鱼页面。
当浏览器加载钓鱼页面时,它将执行恶意脚本,攻击将在受害者不知情的情况下发生。
这里是一个正常的脚本如何工作时,你搜索谷歌的“colors”。
这意味着搜索参数' q '的值被插入到谷歌搜索引擎返回的页面中。
假设,一个骗子创建了一个脚本,当这个URL被加载到浏览器中时,这个脚本会改变它的行为。
浏览器将执行谷歌搜索结果页面。
使用脚本显示“colors”搜索结果的片段将发生如下变化:
加载此页面将导致浏览器执行XSSphish_script()。
如何防止跨站脚本攻击?
使用内置XSS保护功能的浏览器
检查最新版本的浏览器和安全应用程序
使用像“NoScript”这样的浏览器插件,它可以让你选择是否允许或拒绝脚本权限
9. 中间人攻击
在中间人- MITM、MITM、MiM或MiM -攻击中,恶意参与者拦截双方之间的在线交互。
黑客在双方冒充自己访问机密信息,如交易、对话或其他数据。
MiTM的主要目标:
金融网站:介于登录和认证之间
公钥或私钥保护的会话/连接
MITM使用两种主要的欺骗执行技术:ARP欺骗和DNS欺骗。
(1)ARP欺骗:ARP欺骗是一种攻击,恶意参与者通过局域网发送虚假的ARP(地址解析协议)消息。这将攻击者的MAC(机器地址)地址连接到网络上合法计算机或服务器的IP地址。
(2)DNS欺骗:域名系统欺骗或DNS缓存投毒是一种黑客行为,破坏解析器缓存中的DNS数据,导致名称服务器返回不正确的结果记录。
一种可能的MITM攻击场景如下:
如何防止MiTM网络钓鱼攻击?
防止中间人攻击的唯一方法是加密你的在线数据。使用S/MIME加密可以帮助您保护数据不被网络骗子滥用,或者您可以使用第三方工具加密您的数据。
10. Clone Phishing克隆钓鱼
在克隆式钓鱼攻击中,先前发送的包含任何链接或附件的电子邮件被用作真实副本,以创建几乎相同或克隆的电子邮件。
骗子用恶意的链接或附件替换电子邮件中的链接或附件。
克隆的电子邮件会从受害者的收件箱转发到联系人。
克隆电子邮件的收件人会认为它是合法的电子邮件,然后点击恶意链接。
克隆钓鱼攻击是有害的一个主要原因:受害者永远不会怀疑电子邮件。
如何防止克隆式网络钓鱼?
检查发件人的电子邮件。
将鼠标悬停在电子邮件中的任何链接上,在点击它之前可以看到登陆页面。
跟进这封邮件,看看它来自哪个组织。
向反网络钓鱼组织报告电子邮件。
12. 语音钓鱼攻击
在语音网络钓鱼或虚拟钓鱼攻击中,信息是口头传达给潜在的受害者。
虽然它不使用技术,但这是最棘手的网络钓鱼类型之一——你不需要确认或验证在电话中所说的话!
据英国广播公司报道,女商人艾玛·沃特森以银行(诈骗)警报的名义被骗。
艾玛·沃森接到银行的电话说她的账户上发现了一些不寻常的交易活动。
为了保护她的钱,她被要求把所有的钱转到一个新创建的账户上。
她提到,“他们非常专业,因为他们知道我的名字,而且用我的名字称呼我,我没有怀疑他们。”
“为了沟通,他们用银行给我的固定电话号码给我打电话。而且,他们使用了所有银行业的语言,”她补充道。
艾玛已经将10万英镑转入了她的账户——其中只有一小部分被追踪并返还给了她。
如何防止语音钓鱼攻击?
这些攻击的安全性和预防完全依赖于受害者。如果他/她知道这些攻击,并且知道是否要根据这些呼吁采取行动,他/她将能够阻止它。
13. CEO Fraud首席执行官欺诈
首席执行官欺诈——一种商业电子邮件妥协——是捕鲸攻击的一部分,网络骗子欺骗雇员执行未经授权的电汇,或披露机密信息。
2016年4月4日,联邦调查局发布了针对这些CEO欺诈的警告,称“确认的受害者和暴露的损失增加了270%。”
总损失约为23亿美元,平均损失约为5万美元,这本身就是一大笔钱。
根据安全咨询的报告,超过70%的诈骗者假装是首席执行官,剩下的都是首席财务官和首席运营官的签名,超过35%的钓鱼邮件是针对金融高管的。
首席执行官欺诈或BEC攻击施加更高的风险,并在更高层次上损害组织。
以下列出了其中一些损害:
电汇欺诈造成的金钱损失
首席执行官/首席财务官和组织的声誉损失
首席执行官/首席财务官的终止
针对首席执行官/首席财务官和受害者高管的诉讼
失去客户信任
如何防止CEO欺诈?
避免此类欺诈的唯一方法是检查发送者的详细信息——通过人工操作确认身份——或者在您的组织中启用第三方反钓鱼保护解决方案。
14. 恶意软件注入
通过电子邮件向系统或网络注入恶意软件是一种常见的网络钓鱼方式。
恶意软件攻击的通常目标是:
劫持用户的电脑或在线会话,
窃取用户的机密数据,
进行欺诈活动,以及
发起DDoS攻击。
(1)木马
特洛伊木马是一种恶意软件,它创建数字后门,让攻击者在你不知情的情况下入侵你的电脑。
它们能够窃取你的个人信息——比如SSN和/或你的私人文件——商业细节,或者让你的电脑永久停止工作。
攻击者可以利用被黑设备作为代理来隐藏自己的身份,或者发送垃圾邮件进行大规模的网络钓鱼攻击。
“宙斯”是一个木马,帮助攻击者从几十个美国公司账户中窃取了大约300万美元!
(2)病毒
病毒是一组恶意代码,用于侵入设备获取机密数据。
大多数情况下,病毒附着在.exe文件中以感染你的电脑或笔记本电脑。
当你打开一个恶意的.exe文件时,你的电脑就会被破坏。
(3)蠕虫
和病毒一样,蠕虫通过自我复制来影响计算机。
蠕虫是最危险的钓鱼类型之一,因为它们不需要任何人工干预来复制它们的副本!
它们利用系统的漏洞从一台设备传输到另一台设备,这使得它们比典型的病毒攻击更危险。
(4)Ransomware
勒索软件会对你的电脑文件进行加密,锁定并将其作为人质,直到你为其解密代码支付费用。
WannaCry 是一种加密蠕虫勒索软件,通过对用户终端的数据进行加密和锁定,影响了150个国家的20多万台计算机。
这次攻击造成的损失估计为40亿美元。
要学习如何保护你的Gmail免受勒索软件的攻击,请点击这里。
(5)间谍软件
间谍软件是一种恶意软件,它在一段时间内监视受害者的行为。
这种恶意软件的目标是为黑客创造长期利润。
用于各种类型的网络钓鱼的间谍软件类型:
系统间谍:劫持任何网络搜索、主页和其他Internet Explorer设置。(例如)CoolWebSearch (CWS)
广告软件:根据你的网络浏览历史显示广告。(例如)Gator (GAIN)
Keystocks:监控击键-密码和详细信息-并采取截图。(例如)先进的Keystocks
如何防止恶意网络钓鱼?
使用更新的反恶意软件和防病毒是最好的选择。此外,最新的浏览器可以作为一个额外的安全层,防止这些类型的网络钓鱼攻击。