【安全意识】网络钓鱼与钓鱼邮件攻击防范指南

2021-03-25 15:07:20 843

多面魔方

    公开资料显示,全球每天有37亿人发送大约2690亿封电子邮件。根据赛门铁克的调查数据,这些电子邮件中几乎每2,000封中就有一封是网络钓鱼电子邮件,这意味着每天尝试进行约1.35亿次网络钓鱼攻击。

    自电子邮件发明以来,网络钓鱼攻击行为一直困扰着个人和组织。最近,这些攻击变得更加复杂和难以检测。网络钓鱼攻击是黑客用来渗透受害者帐户和入侵网络的最常用方法之一。

    如新冠病毒疫情、金融市场、娱乐八卦、春节假日等重大事件,我们越是希望了解动态,越容易导致钓鱼攻击发生的成功率,骗子会假借专家组织、金融保险机构、政府机构、公司高层等官方来源的“电子邮件”(利用这些重大事件精心构造出足够真实的钓鱼邮件),诱惑点击或重定向到欺骗性十足钓鱼网站,欺骗用户输入敏感信息,泄漏帐号密码。


什么是网络钓鱼?


    简而言之,网络钓鱼是一种社会工程学网络攻击行为的一组策略,骗子发送具备足够欺骗性和诱惑性的电子邮件,试图诱导收件人点击恶意链接或下载受感染的附件以窃取其个人信息。这些电子邮件可能来自政府和银行等具备公信力的组织,或者来自组织内的个人和团队,例如人力资源部门,财务总监或老板。

    如果您的员工不了解网络钓鱼诈骗的过程和危害,那么整个企业都将面临巨大风险。根据Verizon的说法,大规模网络钓鱼活动的第一个受害者点击恶意电子邮件平均需要16分钟。用户向IT部门报告网络钓鱼活动最快则需要用时33分钟。假设有91%的网络犯罪是通过成功的网络钓鱼电子邮件活动发起的,那么这17分钟可能会给您的公司带来灾难。

多面魔方

网络钓鱼攻击方法

    综上所述,大多数网络钓鱼欺骗始于一封看起来像是从合法来源发送的电子邮件,但是攻击和渗透方法可能不同。这些欺骗中使用的某些技术可能很简单,例如欺骗某人单击链接以输入敏感信息,或者复杂的运行一个诱导性的可执行文件,该程序驻留在终端电脑上后台运行恶意软件,并访问您的计算机和网络。

    网络钓鱼欺骗通常会在一次攻击中利用多种欺骗方法。这些欺骗手法会结合使用URL链接跳转和网站伪造,以使欺骗尽可能迷惑受害者相信这是一封真实的有价值的邮件。当您收到网络钓鱼电子邮件时,首先会看到的是看似合法的URL链接,该URL指向Exchange OWA、苹果iCloud、网购平台、社交APP等已知且受信任的网站,并带有一条消息诱使您单击该链接。这些消息将提示用户声称他们的帐户或订单存在问题亟需解决,从而提示用户输入敏感信息如帐号密码,这正是网站伪造能收集到个人及企业关键凭证的主要方法。

多面魔方


    尽管该URL链接可以伪造并看起来像一个真正的“ apple.com”链接,但拼写错误或与域名不一致通常会有告警提示。这些伪造域名通常被称为错别域名。这些恶意网站的设计也与真实网页极为相似,诱骗受害者输入其账户凭据,供黑客窃取并在真实网站上使用。

多面魔方

多面魔方

    黑客通常还会附加一个看起来合法的文件,或者包含一个链接,当单击该链接时,它们会秘密下载恶意软件,并将其自身驻留在受害者的操作系统中。这些伪装成合法可执行文件的恶意软件会在后台静默运行,在用户网络中横向移动以窃取敏感信息,例如银行帐户,身份信息,用户登录凭证等。有时,该恶意软件还包括勒索加密软件、蠕虫病毒等,会通过受害者的网络进行传播,对敏感数据进行加密和泄露,以进行高额的勒索。

多面魔方

网络钓鱼攻击的类型

    网络钓鱼骗子最常用的攻击方法是广撒网。他们会从常用社交网站、搜索引擎收集尽可能多的人的邮件信息并发送网络钓鱼电子邮件,期待一些网络安全意识薄弱的人陷入骗局。尽管此方法很有效,但它并非网络钓鱼者的唯一方法。一些骗子还会使用更精确的方法(例如鱼叉式网络钓鱼,克隆邮件网络钓鱼和捕鲸)来完成工作。

鱼叉式网络钓鱼和捕鲸者

    与一般的网络钓鱼攻击一样,鱼叉式网络钓鱼和捕鲸使用可信任来源的电子邮件来欺骗受害者,骗子会先获得内部可信任的邮件身份信息。鱼叉式网络钓鱼不是针对特定的个人,而是冒充可信任的人来窃取登录凭证或身份信息,而不是采用广撒网的方法。

    捕鲸者有点像鱼叉式网络钓鱼,但考虑攻击更大的目标,它会围绕特定攻击目标创建诱导性信息,如特定爱好的诱导性广告。这些攻击者没有将目标对准部门或团队这样的广泛团体,而是将矛头对准了高管或有影响力的目标,如矛头对准白鲸,步步为营实现引导。捕鲸者会试图冒充首席执行官,首席财务官,人力资源主管等高级管理人员,以说服组织成员披露对攻击者有价值的敏感信息。为了使捕鲸之旅成功,攻击者必须比平时进行更深入的研究,以能够准确地模仿他们的鲸鱼。攻击者正在寻求利用鲸鱼的权力说服员工或其他鲸鱼不要调查或质疑他们提出的要求。

    有趣的是,我本人曾受到过一次捕鲸者攻击,在那家公司中,一个骗子冒充我的老板,要求我提供电话号码,以便咨询我某些业务的方案。幸运的是,电子邮件中有很多迹象被我识破。另外,老板办公室离我的桌子只有10米不到,所以如果他需要我的话更喜欢直接召唤我!

克隆邮件网络钓鱼

    克隆邮件网络钓鱼攻击的创新性不如鱼叉式网络钓鱼和捕鲸者,但却非常奏效。这种攻击方式欺骗性非常强,足以迷惑具备安全意识的人。这里的区别在于,攻击者没有冒充特定请求的用户或组织,而是复制了以前由受信任组织发送的合法电子邮件。然后,黑客利用链接操纵来替换原始电子邮件中包含的真实链接,以将受害者重定向到克隆网站,从而欺骗用户输入他们将在实际网站上使用的登录凭证。

多面魔方

网络钓鱼电子邮件的剖析

    我们已经分析了网络钓鱼电子邮件的最常见攻击方式。我们举例子测试您的安全意识,顺便回顾下知识点。

    网络钓鱼邮件是指黑客伪装成公司同事、业务往来合作伙伴、领导、家人或朋友等用户信任的人,通过发送电子邮件的方式,诱使用户回复邮件、点击嵌入邮件正文的恶意链接或者打开邮件附件以植入木马或间谍程序,进而窃取用户敏感数据、个人银行账户和密码等信息,或者在设备上执行恶意代码实施进一步的网络攻击活动。

一、网络钓鱼邮件五要、五不要原则

防范钓鱼邮件要做到以下“五要”:

    1.杀毒软件要安装:安装杀毒软件并定期更新病毒库,开启杀毒软件对邮件附件的扫描功能。同时定期下载和安装系统和软件的更新;

    2.登录口令要保密:要做到不向任何人主动或轻易地泄露邮箱的密码信息。不要将登录口令贴在办公桌或者易于被发现的记事本上。办公邮箱的密码要定期更换。

    3.邮箱账号要绑定手机:将邮箱帐号与个人手机号码绑定,不光可以找回密码,也可以接收“异地登录提醒”信息。

    4.公私邮箱要分离:不用工作邮箱注册公共网站的服务,也不要用工作邮箱发送私人邮件。

    5.重要文件要做好防护:(1)及时清空收件箱、发件箱和垃圾箱内不再使用的重要邮件;(2)备份重要文件,防止被攻击后文件丢失;(3)重要邮件或附件应加密发送,且正文中不能附带解密密码。

防范钓鱼邮件要做到以下“五不要”:

    1.不要轻信发件人地址中显示的“显示名”:因为显示名实际上是可以随便设置的,要注意阅读发件邮箱全称。

    2.不要轻易点开陌生邮件中的链接:正文中如果有链接地址,切忌直接打开,大量的钓鱼邮件使用短链接(例如http://t.cn/zWU7f51)或带链接的文字来迷惑用户。如果接到的邮件是邮箱升级、邮箱停用等办公信息通知类邮件,在点开链接时,还应认真比对链接中的网址是否为单位网址,如果不是,则可能为钓鱼邮件。

    3.不要放松对“熟人”邮件的警惕:攻击者常常会利用攻陷的组织内成员邮箱发送钓鱼邮件,如果收到了来自信任的朋友或者同事的邮件,你对邮件内容表示怀疑,可直接拨打电话向其核实。

    4.不要使用公共场所的网络设备执行敏感操作:不要使用公共场所的电脑登入电子信箱、使用即时通讯软件、网上银行或进行其它涉及敏感资料的操作。在无法确定其安全性的前提下,请不要在连接Wi-Fi后进行登录和收发邮件,慎防免费无线网络因疏于管理被别有用心人士使用数据截留监侦手段获取用户信息。

    5.不要将敏感信息发布到互联网上:用户发布到互联网上的信息和数据会被攻击者收集。攻击者可以通过分析这些信息和数据,有针对性的向用户发送钓鱼邮件。

二、网络钓鱼邮件五招助你识别

多面魔方

钓鱼邮件示例

    主要的识别钓鱼邮件方法如下:

    1.看发信人地址:如果是公务邮件,发信人多数会使用工作邮箱,如果发现对方使用的是个人邮箱帐号或者邮箱账号拼写很奇怪,那么就需要提高警惕。钓鱼邮件的发信人地址经常会进行伪造,比如伪造成本单位域名的邮箱账号或者系统管理员账号。

    2.看邮件主题:大量钓鱼邮件主题关键字涉及“系统管理员”、“通知”、“订单”、“采购单”、“发票”、“会议日程”、“参会名单”、“历届会议回顾”等,收到此类关键词的邮件,需提高警惕。

    3.看邮件正文:对使用“亲爱的用户”、“亲爱的同事”等一些泛化问候的邮件应保持警惕。同时也要对任何制造紧急气氛的邮件提高警惕,如要求“请务必今日下班前完成”,这是让人慌忙中犯错的手段之一。

    4.看正文目的:当心对方索要登录密码,一般正规的发件人所发送的邮件是不会索要收件人的邮箱登录账号和密码的,所以在收到邮件后要留意此类要求避免上当。

    5.看正文内容:当心邮件内容中需要点击的链接地址,若包含“&redirect”字段,很可能就是钓鱼链接;当心垃圾邮件的“退订”功能,有些垃圾邮件正文中的“退订”按钮可能是虚假的。点击之后可能会收到更多的垃圾邮件,或者被植入恶意代码。可以直接将发件人拉进黑名单,拒收后续邮件。

三、感染钓鱼邮件应急步骤

    当点开钓鱼邮件,造成感染后,不要惊慌,可以开展以下几种应急工作,减小钓鱼攻击产生的危害。

    1.及时报告:及时报给邮箱管理员,请专业的安全人员进一步处理和开展后续系统清理以及恢复工作。

    2.修改登录密码:邮箱的登录密码可能已经泄露,应在另外的机器上及时修改密码,防止攻击者获取邮箱中的邮件、联系人等敏感信息,遏制黑客进一步的攻击渗透。

    3.全盘杀毒:钓鱼邮件中的链接或者附件等可能带有病毒、木马或勒索程序。发现异常应及时做全盘扫描杀毒,最好使用多个杀毒软件交叉杀毒。

    4.隔离网络:切断受感染设备的网络连接(拔掉网线或者禁用网络),避免网络内其他设备被感染渗透,使安全事件范围得到控制,防止敏感文件被窃取,降低安全事件带来的损失。


敲黑板

多面魔方

    在防范网络钓鱼邮件攻击方面,知识就是力量。这些骗子完全依靠你的安全意识疏忽以使他们的骗局获得成功。即使你认为自己是发现网络钓鱼邮件诈骗的专家,也无法放松警惕。每个URL链接背后都有危险,随着技术的革新,网络钓鱼邮件诈骗和电子邮件将继续变得更加复杂和具有挑战性。只要我们的日常生活继续数字化,黑客就会一直在那里对无辜的人下手以谋取利益。保持安全意识并掌握网络安全最佳实践,是不断学习,以保持自己了解最新形式的网络钓鱼邮件攻击手法。


部分内容引用公众号:国家互联网应急中心CNCERT 【发布】钓鱼邮件攻击防范指南一文

多面魔方

多面魔方

了解更多防范网络钓鱼邮件攻击方案请拨打:400-116-9959

多面魔方

多面魔方

多面魔方


多面魔方(北京)技术服务有限公司是国内首家专注MSSP(Managed Security Service Provider)的一站式网络安全服务提供商。公司已在北京、上海、深圳等城市建立7x24H安全运营中心并开展业务。

安全托管服务合作伙伴,选多面魔方就对了。

安全和信任值得托付 !





多面魔方

微信公众号

新浪微博

电话咨询
解决方案
购买与服务
QQ客服