网络钓鱼是什么？不同类型的网络钓鱼详解

我们经常收到这类邮件「您的密码已过期。请按此处立即更改。」提醒密码变更。多数人会毫不犹豫按下邮件上的连结，几乎信任并听从邮件的指示。这就是网络钓鱼攻击如此有效和危险的原因。网络钓鱼攻击尝试使用电子邮件、讯息等形式来与受害者连络。这些讯息看起来像是正常的通讯内容，但其中包含伪造资讯，骇客得以借此窃取受害者的敏感性资讯。

网络钓鱼是什么？

网络钓鱼是一种网络诈骗手法，它利用假讯息、网站和社交工程对个人和企业骗取资讯或金钱。主要是藉由博取人们的信任度来影响其判断。网络钓鱼从网际网络诞生之初就已存在，目前仍然是最普遍的网络攻击形式之一：去年所有资料外泄事件中有32% 与网络钓鱼有关。

攻击者通常会使用网络钓鱼手法取得金钱，就如同诈骗集团欺骗某人进行银行转帐一样简单。但有些网络罪犯会利用恶意软件取得更多个人或公司的相关资讯，而这些资讯可能会在网络上贩售。电子邮件是最普遍的网络钓鱼形式，也就是电子邮件网络钓鱼。有些邮件经过彻底研究和伪装，内容几可乱真，很难发现是假的。

如何识别网络钓鱼攻击

• 催促您做某事。多数网络钓鱼攻击依赖于人们对错过机会的恐惧，迫使他们做出有问题的决定。一个只在短期提供的诱人优惠，可能会导致某品牌的铁粉在电子邮件或简讯中按下连结，而不会停下查看这是否有问题。
• 试着吓唬您。以恐惧为诱饵的诈骗资讯通常是这样的：有人试图登入您的帐户、您的密码被更改，或者您的帐户因为可疑活动而即将被删除。由于您需要尽快作出反应，因此会立即按下提供服务的连结。这些事件相当常见，因此许多人不假思索就立即按下连结想要保护帐户。
• 注意附件。企业不太可能发送电子报、提醒电子邮件或其他带有附件的资讯：他们没有理由这样做。千万别下载并打开附件，否则会有感染恶意软件的风险。
• 看起来不像是该寄件人寄来的邮件。如果该特定服务以前从未与您连络，向您发送过关于更改密码的警示，或者发送看似很棒而不真实的特殊优惠，那么很可能是伪造寄件人发送的邮件。
• 邮件内容看起来很糟糕。内容是否存在语法错误、错字、文字中奇怪且不同的字体、模糊的标志或根本没有标志，或随意放置大写字母？资讯的整体基调是否不协调？这些都代表可能是网络钓鱼骗局。

不同类型的网络钓鱼

鱼叉式网络钓鱼（Spear phishing）

专门针对特定个人的网络钓鱼攻击称为「鱼叉式网络钓鱼」。攻击者在发送网络钓鱼电子邮件之前会先研究目标。这些目标通常来自公共帐户的资讯、他们曾经参与的资料外泄，以及骇客能找到的关于受害者公司的任何相关资讯。有了这些资讯，网络罪犯可以假装是值得信赖的人：例如同事、老友，或者受害者常用服务的客服人员。

网络捕鲸（Whaling）

网络捕鲸是鱼叉式网络钓鱼的另一种形式，攻击者假冒是公司的执行长、董事会成员、大股东等高阶主管或高层人员。这些人难以模仿，因此网络罪犯必须投入更多心力来增加可信度。然而，由于高阶主管在公司中有较大的影响力，因此受害者被骗后通常能得到较高的获益。而且员工在转帐或提供机密资讯时不会询问太多问题。

复制型钓鱼攻击（Clone phishing）

攻击者需使用某种方法来密切监视受害者的收件匣，以便进行这种类型的网络钓鱼。攻击者会接收受害者最近收到的电子邮件（最好有连结或附件）并进行复制。大部分内容保持不变，但附件中包含恶意程式码或连结重新导向到假网站。

新的邮件会将内容进行变更。例如，如果原始邮件中有发票，攻击者可能会更改详细资讯，让受害者汇款给他们。然后，他们会使用假的寄件人电子邮寄地址或建立一个与原始邮件地址非常相似的新邮件地址。一个每天收到大量类似电子邮件的人很可能不经考虑就下载附件和付款。

网络钓鱼简讯和网络钓鱼电话（Smishing and vishing）

许多网络钓鱼攻击也会透过电话进行：网络钓鱼简讯是基于SMS 的网络钓鱼，网络钓鱼电话（又称电话网钓）则涉及电话拨打。

网络钓鱼简讯导致受害者按下简讯上的连结，连上假网站。在最近发生的联邦快递/亚马逊的网络钓鱼攻击中，骇客利用受害者的真实姓名，并告知他们需要为联邦快递包裹设定递送偏好。人们经常收到类似的简讯，尤其在耶诞节前后，因此您可能不会觉得奇怪。如果您按下简讯上的连结，最终会被重新导向到假冒的亚马逊网站，并被要求输入信用卡详细资讯以申请免费奖励。这导致受害者每月的帐单多了98.95 美元。

网络钓鱼电话的工作原理有些差异。它在很大程度上依赖于社交工程，创造压力环境，迫使人们不假思索地行动。攻击者经常试图恐吓受害者，声称他们的信用卡被盗用、忘记支付罚款等。不幸的是，这种手法很容易成功。当人们的情绪影响到他们的判断时，就容易无意间泄露网络银行的详细资讯和其他个人资讯。

Tags：

转载请注明出处：https://www.eoje.cn/wlbk/6136.html