专栏首页黑白安全网络钓鱼攻击

网络钓鱼攻击

什么是网络钓鱼攻击

网络钓鱼是一种经常用来窃取用户数据的社交工程攻击,包括登录凭证和信用卡号码。它发生在攻击者伪装成可信实体时,让受害者打开电子邮件,即时消息或文本消息。然后,收件人被诱骗点击恶意链接,从而导致安装恶意软件,冻结系统以作为勒索软件攻击的一部分或泄露敏感信息。

攻击可能会造成毁灭性的结果。对于个人而言,这包括未经授权的购买,窃取资金或识别盗窃。

此外,网络钓鱼经常被用来在企业或政府网络中站稳脚跟,作为更大攻击的一部分,例如高级持续威胁(APT)事件。在后一种情况下,为了绕过安全边界,在封闭的环境中分发恶意软件,或获得对安全数据的特权访问,员工都会受到危害。

屈服于这种攻击的组织通常会在市场份额,声誉和消费者信任度下降的同时承受严重的财务损失。根据范围的不同,网络钓鱼尝试可能会升级为企业难以恢复的安全事件。

网络钓鱼攻击的例子

以下说明了一种常见的网络钓鱼欺诈尝试:

  • 表面上来自myuniversity.edu的欺骗性电子邮件被大量分发给尽可能多的教员。
  • 该电子邮件声称用户的密码即将过期。有关说明可在24小时内到myuniversity.edu/renewal更新密码。

点击链接可能会发生几件事情。例如:

  • 用户被重定向到myuniversity.edurenewal.com,这是一个与真实更新页面完全相同的虚假页面,其中需要新的和现有的密码。监控页面的攻击者劫持原始密码以访问大学网络上的安全区域。
  • 用户被发送到实际的密码更新页面。但是,在被重定向时,恶意脚本会在后台激活以劫持用户的会话cookie。这导致反映的XSS攻击,使犯罪者有权访问大学网络。

网络钓鱼技巧

电子邮件网络钓鱼诈骗

电子邮件网络钓鱼是一个数字游戏。发送成千上万的欺诈邮件的攻击者可以净化重要的信息和金钱,即使只有很小比例的收件人陷入骗局。如上所见,攻击者使用一些技巧来提高成功率。

首先,他们会花费大量精力设计钓鱼邮件来模仿欺骗性组织的实际电子邮件。使用相同的短语,字体,徽标和签名可以使消息看起来合法。

另外,攻击者通常会设法通过产生紧迫感来推动用户采取行动。例如,如前所示,电子邮件可能会威胁帐户到期并将收件人放在计时器上。施加这样的压力会导致用户不那么勤奋并且更容易出错。

最后,邮件内部的链接类似于他们的合法副本,但通常会有拼写错误的域名或额外的子域名。在上面的例子中,myuniversity.edu/renewal URL被更改为myuniversity.edurenewal.com。这两个地址之间的相似之处提供了安全链接的印象,使得接收者不知道正在发生攻击。

钓鱼网络钓鱼

针对特定的个人或企业进行钓鱼攻击,而不是随机的应用程序用户。这是一个更深入的网络钓鱼版本,需要有关组织的特殊知识,包括其权力结构。

攻击可能会发生如下:

  • 行为人研究组织营销部门内员工的姓名并获得最新项目发票的访问权限。
  • 作为营销总监,攻击者使用主题行向部门项目经理(PM)发送电子邮件,内容为Q3活动的更新发票。文本,样式和包含的徽标会复制组织的标准电子邮件模板。
  • 电子邮件中的链接将重定向到一个受密码保护的内部文档,实际上这是一个被盗发票的欺骗版本。
  • 请求PM登录查看文档。攻击者窃取他的证书,获得对组织网络中敏感区域的完全访问。

通过为攻击者提供有效的登录凭证,鱼叉式网络钓鱼是执行APT第一阶段的有效方法。

网络钓鱼保护

网络钓鱼攻击防护需要用户和企业采取措施。

对于用户而言,警惕性至关重要。伪造的消息通常包含暴露其真实身份的微妙错误。这些可能包括拼写错误或域名更改,如前面的URL示例所示。用户还应该停下来思考为什么他们甚至收到这样的电子邮件。

对于企业来说,可以采取多种措施来减轻网络钓鱼和鱼叉式网络钓鱼攻击:

  • 双因素身份验证(2FA)是对付钓鱼攻击的最有效方法,因为它在登录到敏感应用程序时添加了额外的验证层。2FA依赖于用户有两件事:他们知道的东西,比如密码和用户名,以及他们拥有的东西,比如他们的智能手机。即使员工受到损害,2FA也会阻止他们使用他们被盗用的凭证,因为仅凭这些凭证不足以进入。
  • 除了使用2FA之外,组织还应执行严格的密码管理政策。例如,应要求员工经常更改密码并且不允许重复使用多个应用程序的密码。
  • 教育活动还可以通过执行安全实践来帮助减少网络钓鱼攻击的威胁,例如不要点击外部电子邮件链接。

来自IMPERVA的网络钓鱼保护

Imperva提供了访问管理和Web应用安全解决方案的组合,以打击网络钓鱼企图:

  • Imperva 登录保护可让您为网站或Web应用程序中的URL地址部署2FA保护。这包括具有URL参数或AJAX页面的地址,其中2FA保护通常较难实现。只需点击几下鼠标,解决方案就可以在几秒钟内完成部署。它不需要任何硬件或软件安装,并且可以直接从您的Imperva仪表板轻松管理用户角色和权限。
  • 在云中工作时,Imperva Web应用防火墙(WAF)阻止网络边缘的恶意请求。这包括防止受到攻击的内部人员的恶意软件注入企图,以及反映网络钓鱼事件导致的XSS攻击。
本文转载自: http://www.heibai.org/post/469.html复制
如有侵权,请联系 yunjia_community@tencent.com 删除。
登录 后参与评论
0 条评论

相关文章

  • Meta对网络钓鱼攻击提起诉讼

    据BleepingComputer消息,Meta已经在加州联邦法院提起诉讼,以减少冒充Facebook、Messenger、Instagram 和 WhatsA...

    FB客服
  • 对一次网络钓鱼攻击的逆向分析

    作为最近的一项研究,我们首先发现了两个钓鱼攻击域名,而在这两个域名之后是更多的域名,这些域名已经成功地攻击了超过1000多名用户,这项钓鱼攻击主要针对的是AOL...

    FB客服
  • APT28对美网络钓鱼攻击的线索分析

    在即将到来的美国中期选举前夕,谍影重现。9月中旬,微软方面采取行动阻止了一项由俄罗斯APT组织Fancy Bear(APT28)发起的网络钓鱼攻击,攻击者的疑似...

    FB客服
  • 网络钓鱼攻击:Paypal用户很不幸的又中枪

    近期有不少网购用户收到一封来自Paypal的电子邮件,里面包含了购买商品的订单详情,并附着一个友情提示链接,其实它就是一钓鱼链接。 收到邮件的用户都应该知道,邮...

    FB客服
  • 警惕利用“新型冠状病毒”名义的网络钓鱼攻击

    最近,利用冠状病毒爆发事件展开的攻击活动频出,主要的攻击形式为针对个人的网络钓鱼。基于这个现状,笔者整理了几类比较典型的攻击案例,借此希望帮助大家更好地识别虚假...

    FB客服
  • 5种类型的员工经常受到网络钓鱼攻击的攻击

    二十年前,黑客通过网络发现和利用漏洞来破坏组织。为了阻止他们,安全团队专注于锁定周边,创建一个“坚硬的外部”,但他们在加强内部用户、系统和网络方面做得少得多。

    双愚
  • 俄罗斯400多家工业企业遭遇网络钓鱼攻击

    卡巴斯基实验室(Kaspersky Lab)ICS CERT发现了一系列带有恶意附件的网络钓鱼电子邮件,主要针对的是与工业生产相关的企业和机构。网络钓鱼电子邮件...

    FB客服
  • PhishPoint网络钓鱼攻击:一种绕过Microsoft Office 365保护的新技术

    近期,来自云安全公司Avanan的安全研究专家发现了一种名叫PhishPoint的新型攻击技术,而这种攻击技术将允许攻击者绕过Microsoft Office3...

    FB客服
  • 2021年网络钓鱼攻击中被冒充最多的品牌,Facebook位居榜首

    安全公司Vade 公布了2021年度在网络钓鱼中被冒充最多的20个品牌排名。报告分析了去年全年间184977封钓鱼邮件中附带的欺诈性链接,其中,Facebook...

    FB客服
  • 微软去年拦截了数百亿次暴力破解和网络钓鱼攻击

    去年,微软成功拦截了数百亿次针对Office 365和Azure Active Directory (Azure AD) 客户的暴力破解和网络钓鱼攻击。

    FB客服
  • 与俄罗斯有关的InvisiMole组织对乌克兰发动鱼叉式网络钓鱼攻击

    近期,乌克兰计算机紧急事件响应政府小组 (CERT-UA)声称UAC-0035组织(又名 InvisiMole)针对乌克兰国家机构发起鱼叉式网络钓鱼邮件攻击,这...

    FB客服
  • 美国悬赏1000万追捕勒索黑客、能源行业成网络钓鱼攻击“重灾区”|全球网络安全热点

    在为期30个月的跨大陆调查和行动中,国际刑事警察组织或国际刑警组织已逮捕并发布红色通缉令,其他嫌疑人被认为是全球恶意软件犯罪网络的幕后黑手。

    腾讯安全
  • 了解网络钓鱼者模仿统一资源定位符以利用网络钓鱼攻击的策略:机器学习方法(CS CS)

    网络钓鱼是一种社会工程攻击,旨在窃取用户数据,包括登录凭据和信用卡号,从而给组织和个人造成财务损失。当假装为受信任实体的攻击者诱使受害者单击电子邮件或文本消息中...

    刘子蔚
  • 黑客瞄准韩国智库、2021年社交媒体网络钓鱼攻击猛增|11月12日全球网络安全热点

    根据欧洲执法机构欧洲刑警组织的数据,仅在2019年至2020年之间,赎金支付的数量就增加了300%。网络犯罪分子以供应链、关键基础设施、医院等为目标的几起重大事...

    腾讯安全
  • Red Team 工具集之网络钓鱼和水坑攻击

    上图是一个 Red Team 攻击的生命周期,整个生命周期包括:信息收集、攻击尝试获得权限、持久性控制、权限提升、网络信息收集、横向移动、数据分析(在这个基础上...

    信安之路
  • 微软称三名 2018 年国会候选人遭遇钓鱼网络攻击

    据外媒报道,日前微软透露,有黑客企图利用一个假冒微软网站对美国国会三位中期候选人展开钓鱼网络攻击。负责客户安全与信息的公司副总裁Tom Burt在阿彭斯安全论坛...

    C4rpeDime
  • 一种基于机器学习的自动化鱼叉式网络钓鱼思路

    基于社会工程的网络虽攻击出现已久,一直是较为关注的一种有效攻击手段;尤其是鱼叉式网络钓鱼,因其成效显著且传统的安全性防御机制无法阻止这类攻击类型,仍然是大众关注...

    C4rpeDime
  • 谈谈鱼叉式网络钓鱼黑箱粉碎机

    美国加州大学伯克利分校和劳伦斯伯克利国家实验室(LBNL)的几位安全研究人员开发了鱼叉式网络钓鱼黑箱粉碎机,通过分析鱼叉式网络钓鱼攻击的根本特点设计了一组新的信...

    FB客服
  • 钓鱼

    鱼叉式网络钓鱼是一种社会工程攻击,其中伪装成可信个人的犯罪行为者欺骗目标点击欺骗电子邮件,短信或即时消息中的链接。因此,目标无意中会泄露敏感信息,在其网络上安装...

    C4rpeDime

扫码关注云+社区

领取腾讯云代金券