观星译 | 什么是鱼叉式钓鱼攻击——关于其动机、技术和预防方法的完整指南

 

每天,全世界都会有数百万的受害者收到成千上万的鱼叉式钓鱼攻击邮件。

 

现在网络攻击有各种不同的途径,这些攻击能内部或外部攻击你的网络,造成同等的伤害。

 

在这份指南中,我们将分析什么是鱼叉式钓鱼攻击,其使用的技术方法、示例、应对流程和一些最佳实践。

 

一、什么是鱼叉式网络钓鱼?

 

鱼叉式网络钓鱼(Spear Phishing)是一种恶意行为,黑客通过电子邮件活动对目标受众进行调查,了解他们的好恶,研究他们的日常操作,并定制邮件来窃取敏感数据和安装恶意软件。这种有针对性的电子邮件营销活动会渗透到黑客的目标受众群中,被称为鱼叉式网络钓鱼攻击。

 

任何来自未知发件人的匿名邮件只要进入您的收件箱中,都可能被认为是钓鱼攻击。而将数百万封带有恶意目的的电子邮件发送到电子邮件 ID 数据库中的行为,被称为网络钓鱼。它可以用于部署恶意软件、远程代码执行等,不过,这种网络钓鱼可能对黑客没有好处。

 

二、鱼叉式网络钓鱼的工作机制?

 

鱼叉式网络钓鱼的执行分为四个步骤:
 
  1. 识别目标

  2. 研究目标行为

  3. 定制信息

  4. 邮件轰炸

 

1. 识别目标
黑客们一开始会根据他们的活动动机来缩小受众范围,从而识别受害目标,目标可以是某一特定垂直领域的公司,也可能是医疗保健公司的病人。

 

识别过程分为两个阶段:主要目标和次要目标。主要目标通常是在跨国公司工作的管理人员,他们会被电子邮件轰炸;次要目标则是那些拥有获取商业敏感信息权限的关键人物。

 

作为鱼叉式网络钓鱼的受害者,主要目标会被操纵来利用次要目标。

 

2. 研究目标行为
随后,鱼叉式网络钓鱼会通过深入挖掘目标的社交媒体资料、求职网站、作品集、评论、喜好、所属群体以及所属社区来收集目标的信息。不管怎样,黑客都会获得目标的个人信息,如电子邮件、电话号码、姓名、姓氏、工作经历、学历、大学、专业领域等,他们会利用这些信息来影响潜在的目标。

 

3. 定制信息
根据这些从外部资源处收集到的信息,黑客接下来会定制电子邮件和信息的内容,以获得更高的打开率和更低的跳出率(Bounce Rate,简称 BR,指用户只访问了一个页面且没有任何操作就关闭网页的行为占所有访问次数的百分比),一旦目标成功地获取了这些被设定的信息,黑客们将启动电子邮件轰炸程序。

 

4. 邮件轰炸
在进行了以上所有的研究之后,黑客将准备他们的攻击载体和战略,以确保邮件被发送到目标受众的收件箱,而不是进入垃圾邮件文件夹。

 

他们会将发件人的详细信息伪装成合法的,以确保邮件的正确发送,并使得用户最终按预期打开邮件。

 

打开电子邮件后,用户将根据内容点击链接或下载附件,因为这些看起来没问题。

 

根据所有的研究,用户的点击通过率(Click-Through-Rate,即 CTR)会非常高,这些都得益于黑客已经实施的邮件加工程序的可靠。

 

三、鱼叉式网络钓鱼邮件的三种类型

 

通常来说,黑客倾向于通过以下三种技术方法来控制他们的目标受众:
 
  1. 伪装(Impersonation)

  2. 个性化(Personalization)

  3. 情感反应(Emotional Response)

 

1. 伪装(Impersonation)
“伪装”,顾名思义,黑客通过伪造的数据,假扮他人或法人实体来骗取收件人的信任。这是一种非常常用的技术,通过使用难以分辨的主题线,在发件人部分伪装一个真实的人或实体。

 

2. 个性化(Personalization)
这种技术的成功率非常高,因为信息是针对收件人量身定制的,所以一般来说,收件人很容易相信这封邮件会对他或他的职业生涯有益。

 

3. 情感反应(Emotional Response)
这种技术会营造一种恐惧、快乐、震惊或惊喜的氛围,最终让用户打开邮件,并按计划点击/下载恶意内容。

 

四、鱼叉式网络钓鱼案例
 
鱼叉式网络钓鱼攻击具有很强的针对性,往往会给企业带来灾难性的后果,下面是一些成功的鱼叉式网络钓鱼攻击的例子。

 

优比快科技有限公司(Ubiquite Networks Inc)
该公司在 2015 年遭遇了“假冒总裁骗术”(CEO Fraud),并为这项鱼叉式网络钓鱼攻击支付了超过 4000 万美元。这些电子邮件被伪装成是来自高管,为了将资金转移到香港的一个第三方实体,后来发现该实体是某个匿名实体,而不是真正的第三方。

 

RSA
RSA 是一家领先的安全公司,但不幸的是,他们自己也成为了 2011 年鱼叉式钓鱼攻击的受害者。

 

这封以“2011年招聘计划”为主题的邮件大面积传播,虽然绝大多数被标记为垃圾邮件,但仍有一部分员工打开了它,导致恶意软件被部署到受感染的系统中,最终让黑客得以远程进入电脑和网络。

 

Amazon
亚马逊是世界 500 强公司中的领头羊,瞄准这个公司无疑会提高你的鱼叉式网络钓鱼的成功率。

 

2015 年,一场针对亚马逊用户的大规模鱼叉式网络钓鱼攻击以“您的亚马逊订单已经发出”为主题,附带一串代码。

 

如果是正常来自 Amazon 官方的电子邮件,用户可以直接从中或者通过跳转到 Amazon 账户来查看订单的发货状态,但这起网络钓鱼攻击则告知用户,需要通过下载附件来查看状态。

 

一些员工会成为这种钓鱼手段的猎物,勒索软件得以下载安装并感染系统,以加密数据和索取赎金。

 

五、如何防范钓鱼?

 

防范鱼叉式网络钓鱼是一个基于不同因素的过程,如意识、工具、教育、情绪反应等。以下是一些组织和个人应采取的最佳实践,以保护自己免受网络钓鱼的侵害:

 

  1. 提高网络意识

  2. 使用网络工具

  3. 辨别虚假邮件

  4. 避开链接和附件

  5. 避开“紧迫邮件”

 

英特尔的一份调查报告显示,97% 的人无法识别钓鱼邮件。最好的建议是通过建立网络安全意识和提高网络教育来防范鱼叉式网络钓鱼。这是一个取决于诸多因素及其精确程度的过程。

 

1. 提高网络意识
组织和个人应该自主或通过网络指南来提高自己的网络意识。了解攻击载体、攻击机制、过程和可能的过程,可以帮助终端用户和个人防范任何潜在的网络钓鱼诈骗,并确保他们始终避免受骗。

 

2. 使用网络工具
正如前面几节所提到的,没有一种工具可以很好地抵御钓鱼攻击,但是适当配置的浏览器策略、电子邮件过滤器和端点配置可以有效减少网络钓鱼欺诈。此外,更强大的密码和防火墙配置的 GPO(Group Policy)策略可以帮助组织保护其用户免受钓鱼邮件的攻击。

 

3. 辨别虚假邮件
用户还可以通过主题栏、发件人和相关性来区分真假邮件,然后根据邮件内容再次确认。任何未知的发件人或邮件目的都可能是潜在的网络钓鱼诈骗。

 

4. 避开链接和附件
并不是所有的网络钓鱼诈骗都会在邮件被打开时就起作用,大多数只有在邮件链接被点开或者附件被打开时才会启动。因此,用户需要确保他们知道这些链接和附件,可以试着将鼠标悬停在链接上,或者查看附件文件。

 

5. 避开“紧迫邮件”
用户应该避免那些造成紧迫感的邮件,情绪反应通常会使你成为此类钓鱼邮件的猎物。任何基于你的税收、健康指标而产生恐惧、惊讶、震惊或个性化情绪反应的邮件都应该避免。

 

附:鱼叉式网络钓鱼信息图表

观星译图片2.webp

 

2019年10月15日 15:00
网站首页    观星译 | 什么是鱼叉式钓鱼攻击——关于其动机、技术和预防方法的完整指南