鱼叉式网络钓鱼是一种社会工程攻击,其中伪装成可信个人的犯罪行为者欺骗目标点击欺骗电子邮件,短信或即时消息中的链接。因此,目标无意中会泄露敏感信息,在其网络上安装恶意程序(恶意软件)或执行高级持续性威胁(APT)的第一阶段,以列出一些可能的后果。
虽然类似于网络钓鱼和捕鲸攻击,但是鱼叉式网络钓鱼以独特的方式发起,其目标不同于其他社会工程攻击。因此,在制定应用程序安全策略时,应该特别注意攻击。
以下示例说明了鱼叉式网络钓鱼攻击的进展和潜在后果:
鱼叉式网络钓鱼,网络钓鱼和捕鲸攻击的复杂程度和预期目标各不相同。下面强调它们的区别。
网络钓鱼涉及从假定的可信来源向尽可能多的人发送恶意电子邮件,并假设回复率较低。例如,网络钓鱼电子邮件可能声称来自PayPal,并要求收件人通过单击封闭的链接来验证其帐户详细信息,从而导致在受害者的计算机上安装恶意软件。
钓鱼电子邮件是非个人化的,大量发送,通常包含拼写错误或其他显示其恶意意图的错误。问题是,并非所有人都注意到这些微妙的提示。可信的徽标和已知目的地的链接足以欺骗许多人分享他们的细节。
另一方面,钓鱼电子邮件则更难以检测,因为它们似乎来自接近目标的来源。网络犯罪分子将个性化电子邮件发送给具有共同特征的特定个人或群体,例如在同一部门工作的员工。
捕鲸使用欺骗性的电子邮件信息针对组织内的高级决策者,如首席执行官,首席财务官和其他高管。这些人可以访问高度有价值的信息,包括商业秘密和管理公司帐户的密码。
攻击者发送关于重要业务重要性的电子邮件,伪装成具有合法权威的个人或组织。例如,攻击者可能会向发送电子邮件的首席执行官请求付款,假装是公司的客户。
捕鲸攻击通常是针对目标个人,通常使用他们的头衔,职位和电话号码,这些都是通过公司网站,社交媒体或媒体获得的。
捕鲸与鱼叉式网络钓鱼的区别在于,捕鲸专门针对组织内的高级人员,而鱼叉式网络钓鱼通常追随一类人群较低的人群。
鱼叉式网络钓鱼攻击的目标性使其难以发现。但是,一些风险防范措施可以提供帮助,包括双因素认证(2FA),密码管理政策和教育活动。
2FA通过要求用户拥有两件东西来帮助保护登录敏感应用程序的安全:他们知道的东西,如密码和用户名,以及他们拥有的东西,如智能手机或加密令牌。使用2FA时,即使使用诸如鱼叉式钓鱼之类的技术攻击密码,对于没有真实用户持有物理设备的攻击者也没有用处。
谨慎的密码管理政策应采取措施防止员工在假冒的外部网站上使用企业访问密码。
这种政策的一个例子是指示员工在访问通过电子邮件提供的链接时始终输入错误的密码。一个合法的网站不会接受一个虚假的密码,但是一个钓鱼网站会。
在组织层面,企业可以提高认识并积极培训员工,突出矛鱼网络钓鱼攻击是一个重要威胁。培训材料可以包含鱼叉式网络钓鱼的真实案例,其中包含旨在测试员工知识的问题。了解鱼叉式网络钓鱼的员工不太可能成为攻击的受害者。
Imperva Incapsula提供了两种解决方案,可以帮助抵御钓鱼攻击,包括鱼叉钓鱼: