更新日期:2024 年 5 月 17 日
撰稿人:Matthew Kosinski
网络钓鱼攻击使用欺诈性电子邮件、短信、电话或网站诱骗人们共享敏感数据、下载恶意软件或以其他方式使自己陷入网络犯罪的陷阱。
网络钓鱼在网络罪犯中很受欢迎,而且非常有效。根据 IBM 的数据泄露成本报告,网络钓鱼是最常见的数据泄露媒介,占所有泄露事件的 16%。网络钓鱼造成的泄露事件给组织造成的平均损失为 476 万美元,高于 445 万美元的总体平均泄露成本。
网络钓鱼是一种重大威胁,因为它利用的是人而不是技术漏洞。攻击者不需要直接破坏系统或智取网络安全工具。他们可以欺骗那些有权接触目标(无论是金钱、敏感信息还是其他东西)的人,让他们去做肮脏的勾当。
网络钓鱼者可能是单独的骗子,也可能是复杂的犯罪团伙。他们可以利用网络钓鱼达到许多恶意目的,包括身份盗窃、信用卡欺诈、金钱盗窃、敲诈勒索、账户接管、间谍活动等。
网络钓鱼的目标从普通人到大公司和政府机构,不一而足。在其中最著名的一次网络钓鱼攻击中,俄罗斯黑客利用伪造的密码重置电子邮件窃取了 Hillary Clinton 2016 年美国总统竞选活动的数千封电子邮件。1
由于网络钓鱼诈骗会操纵人类,因此标准的网络监控工具和技术无法始终捕获这些正在进行的攻击。事实上,在针对 Hillary Clinton 竞选活动的攻击中,甚至连竞选活动的 IT 帮助台也认为欺诈性的密码重置电子邮件是真实的。
要打击网络钓鱼,组织必须将先进的威胁检测工具与强大的员工教育相结合,确保用户能够准确识别和安全应对诈骗企图。
我们的 X-Force 团队由黑客、响应人员、研究人员和情报分析师组成,可随时讨论贵组织面临的具体安全挑战以及我们如何提供帮助。
注册获取 X-Force Threat Intelligence 指数
“网络钓鱼”一词指的是诈骗者使用有吸引力的“诱饵”来欺骗受害者,就像渔民使用鱼饵来钓真正的鱼一样。在网络钓鱼中,诱饵是欺诈性消息,看起来可信,会唤起恐惧、贪婪和好奇心等强烈情绪。
网络钓鱼诈骗者使用的诱饵类型取决于他们的攻击对象和目标。一些常见的网络钓鱼攻击示例包括:
在群发电子邮件网络钓鱼中,诈骗者不分青红皂白地向尽可能多的人发送垃圾邮件,希望有一小部分目标上当受骗。
诈骗者通常会创建看似来自大型合法企业的电子邮件,例如银行、在线零售商或流行应用的制造商。通过冒充知名品牌,诈骗者增加了他们的目标成为这些品牌客户的机会。如果目标经常与某个品牌互动,他们就更有可能打开自称来自该品牌的网络钓鱼电子邮件。
网络罪犯不遗余力地使网络钓鱼电子邮件看起来像是真的。他们可能会使用被冒充发件人的徽标和品牌。他们可能会伪造电子邮件地址,使消息看起来像是来自被冒充发件人的域名。他们甚至可能从被冒充发件人那里复制真实电子邮件,并对其进行修改以达到恶意目的。
诈骗者编写电子邮件主题行时,会诉诸强烈的情感或制造紧迫感。精明的诈骗者会使用被冒充发件人可能实际提及的主题,例如“您的订单出现问题”或“您的发票已附上”。
电子邮件正文指示收件人采取看似合理的行动,但结果会泄露敏感信息或下载恶意软件。例如,网络钓鱼链接可能显示“点击此处更新您的个人资料”。当受害者点击该恶意链接时,它会将他们转到一个窃取其登录凭据的虚假网站。
有些诈骗者会选择在节假日或人们更容易受到压力的其他活动期间开展网络钓鱼活动。例如,针对亚马逊客户的网络钓鱼攻击往往在 Prime Day(该在线零售商的年度销售活动)前后激增。2诈骗者发送有关虚假交易和付款问题的电子邮件,利用人们放松警惕的心理。
鱼叉式网络钓鱼是针对特定个人的针对性网络钓鱼攻击。目标通常是对敏感数据具有特权访问权限或拥有诈骗者可以利用的特殊权限的人,例如可以从公司账户转移资金的财务经理。
鱼叉式网络钓鱼者会对目标进行研究,以收集所需的信息,从而冒充目标信任的个人或实体(朋友、上司、同事、供应商或金融机构)。社交媒体和专业社交网站(人们公开祝贺同事、支持供应商并倾向于过度分享)是鱼叉式网络钓鱼研究的丰富信息来源。
鱼叉式网络钓鱼者利用他们的研究来制作包含特定个人信息的消息,使其对目标来说看起来非常可信。例如,鱼叉式网络钓鱼者可能会冒充目标的上司,向其发送一封电子邮件,内容是:“我知道您今晚要去度假,但您能在今天下班前支付这张发票吗?”
针对高管、富人或其他高价值目标的鱼叉式网络钓鱼攻击通常称为鲸鱼网络钓鱼或捕鲸攻击。
BEC 是一类鱼叉式网络钓鱼攻击,它试图从企业或其他组织窃取金钱或有价值的信息,例如商业秘密、客户数据或财务信息。
BEC 攻击有多种形式。两种最常见的形式:
- CEO 欺诈:诈骗者假冒公司高管,通常是通过劫持高管的电子邮件帐户来进行的。诈骗者向一名或多名员工发送消息,指示他们将资金转移到欺诈性账户或从欺诈性供应商处进行购买,或向未经授权方发送文件。
- 电子邮件帐户泄露 (EAC):诈骗者获得较低级别员工(例如财务、销售、研发经理)的电子邮件帐户的访问权限,并使用它向供应商发送欺诈性发票,指示其他员工进行欺诈性付款或存款,或请求访问机密数据。
BEC 攻击可能是代价最高的网络攻击之一,诈骗者经常一次就能窃取数百万美元。在一个著名的例子中,一群诈骗者冒充合法软件供应商,从 Facebook 和 Google 窃取了 1 亿多美元。3
一些 BEC 诈骗者正在放弃这些高调的计策,转而针对更多目标发动小规模攻击。根据反网络钓鱼工作组 (APWG) 的数据,BEC 攻击在 2023 年变得更加频繁,但诈骗者每次攻击索要的赎金较少。4
短信网络钓鱼,又称短信钓鱼,它使用虚假短信来欺骗目标。诈骗者通常冒充受害者的无线提供商,发送提供“免费礼物”的短信或要求用户更新他们的信用卡信息。
有些诈骗者会冒充美国邮政局或其他运输公司。他们发送短信,告诉受害者他们必须支付费用才能收到订购的包裹。
语音网络钓鱼或语音钓鱼是通过电话进行的网络钓鱼。根据 APWG 的数据,近年来语音钓鱼事件呈爆炸式增长,2022 年至 2023 年间增加了 260%。5语音钓鱼兴起的部分原因是 IP 语音 (VoIP) 技术的普及,诈骗者可以利用这种技术每天拨打数百万个自动语音钓鱼电话。
诈骗者通常使用来电显示欺骗技术,使他们的电话看起来像是来自合法组织或本地电话号码。语音钓鱼电话通常以信用卡处理问题、逾期付款或法律问题等警告吓唬收件人。收件人最终会向网络罪犯提供敏感数据或金钱,以“解决”他们的问题。
社交媒体网络钓鱼利用社交媒体平台来欺骗人们。诈骗者使用平台的内置消息发送功能(例如,Facebook Messenger,LinkedIn InMail 和 X(以前称为 Twitter)DM),与他们使用普通电子邮件和短信的方式相同。
诈骗者通常会冒充需要目标帮助登录帐户或赢得竞赛的用户。他们利用这种诡计窃取目标的登录凭据并接管他们在平台上的帐户。对于在多个帐户中使用相同密码的受害者来说,这些攻击的代价尤其高昂,是非常常见的做法。
诈骗者不断设计新的网络钓鱼技术来避免被发现。最近的一些进展包括:
AI 网络钓鱼使用生成式人工智能 (AI) 工具来创建网络钓鱼消息。这些工具可以生成定制的电子邮件和短信,其中不含拼写错误、语法不一致和其他常见的网络钓鱼危险信号。
生成式 AI 还可以帮助诈骗者扩大其业务规模。根据 IBM X-Force Threat Intelligence Index,诈骗者需要 16 个小时才能手动制作出一封网络钓鱼电子邮件。借助 AI,诈骗者只需五分钟就能创建更具说服力的消息。
诈骗者还使用图像生成器和语音合成器来进一步提高骗局的可信度。例如,在 2019 年,攻击者使用 AI 克隆了一家能源公司 CEO 的声音,从一名银行经理那里骗取了 243,000 美元。7
二维码钓鱼使用电子邮件和短信中嵌入或现实世界中发布的虚假二维码。二维码钓鱼允许黑客将恶意网站和软件隐藏在显眼的地方。
例如,美国联邦贸易委员会 (FTC) 去年曾警告过一种骗局,即犯罪分子用自己的代码替换公共停车计时器上的二维码,从而窃取支付数据。6
混合式语音钓鱼攻击将语音网络钓鱼与其他方法相结合,以躲避垃圾邮件过滤器并获得受害者的信任。
例如,诈骗者可能会发送一封声称来自美国国税局 (IRS) 的电子邮件。这封电子邮件告诉目标他们的纳税申报表有问题。为了解决这个问题,目标必须拨打电子邮件中提供的电话号码,该号码会直接将他们与诈骗者联系起来。
每个骗局的细节可能有所不同,但有一些常见迹象表明某条消息可能存在网络钓鱼。这些迹象包括:
网络钓鱼诈骗试图让受害者有一种紧迫感,以便他们不假思索地迅速采取行动。诈骗者通常通过唤起恐惧、贪婪和好奇心等强烈情绪来做到这一点。他们可能会施加时间限制并威胁称将面临不切实际的后果,例如入狱。
常见的网络钓鱼骗术包括:
- “您的帐户或财务信息有问题。您必须立即更新以免失去访问权限。”
- “我们发现您从事非法活动。立即缴纳罚款,否则将被逮捕。”
- “您赢得了一份免费礼物,但您必须立即领取。”
- “这张发票已逾期。您必须立即付款,否则我们将停止为您提供服务。”
- “我们为您提供一次令人兴奋的投资机会。现在存钱,我们可以保证您会获得令人难以置信的回报。”
网络钓鱼诈骗通常会要求提供以下两种信息之一:金钱或数据。未经请求或意外要求付款或提供个人信息可能是网络钓鱼攻击的迹象。
诈骗者将他们索要金钱的要求伪装成逾期发票、罚款或服务费。他们将信息请求伪装成更新付款或帐户信息或重置密码的通知。
许多网络钓鱼团伙在国际范围内开展活动,这意味着他们通常会用并不流利的语言编写网络钓鱼信息。因此,许多网络钓鱼攻击都包含语法错误和前后矛盾之处。
来自合法品牌的消息通常包含具体的细节。他们可能会称呼客户的姓名、引用特定的订单号或准确地解释问题所在。没有进一步详细信息的模糊消息(例如“您的帐户存在问题”)就是一个危险信号。
诈骗者经常使用乍看似乎合法的 URL 和电子邮件地址。例如,来自“admin@rnicrosoft.com”的电子邮件可能看起来很安全,但请再看一遍。“Microsoft”中的“m”实际上被改成了“r”和“n”。
另一种常见计策是使用“bankingapp.scamsite.com”之类的 URL。用户可能认为这会链接到 bankingapp.com,但实际上它指向 scamsite.com 的子域。黑客还可能使用链接缩短服务来伪装恶意 URL。
诈骗者可能会发送目标未请求且未预料到的文件和附件。他们可能会在消息和网页中使用文本图像而不是实际文本,以躲避垃圾邮件过滤器。
一些诈骗者会提及热点问题来激怒受害者。例如,IBM® X-Force® 发现诈骗者通常利用乌克兰冲突来煽动目标的情绪。
由于网络钓鱼诈骗以人为目标,因此员工通常是组织抵御这些攻击的第一道也是最后一道防线。组织可以教导用户如何识别网络钓鱼攻击的迹象并应对可疑的电子邮件和短信。这可能包括为员工提供向 IT 或安全团队报告网络钓鱼攻击的简单方法。
组织还可以制定政策和做法,使网络钓鱼者更难得逞。
例如,组织可以禁止人们通过电子邮件发起资金转账。他们可以要求员工通过消息中提供的方式以外的其他方式联系请求人,以核实资金或信息请求。例如,员工可以直接在浏览器中键入 URL,而不是点击链接,或者拨打同事的办公室电话,而不是回复来自未知号码的短信。
组织可以利用安全工具对员工培训和公司政策进行补充,这些工具有助于检测网络钓鱼消息并阻止使用网络钓鱼入侵网络的黑客。
- 垃圾邮件过滤器和电子邮件安全软件利用现有网络钓鱼诈骗相关数据和机器学习算法来识别网络钓鱼电子邮件和其他垃圾消息。然后将诈骗和垃圾邮件移至单独的文件夹中,并清除其中的恶意链接和代码。
- 防病毒和反恶意软件可以检测和清除网络钓鱼电子邮件携带的恶意文件或代码。
- 多重身份验证可以防止黑客接管用户帐户。网络钓鱼者可以窃取密码,但窃取指纹扫描或一次性密码等第二重因素则要困难得多。
- 端点安全工具(例如端点检测和响应 (EDR) 和统一端点管理 (UEM) 解决方案)可利用人工智能 (AI) 和高级分析拦截网络钓鱼攻击并阻止恶意软件。
- Web 过滤器可防止用户访问已知的恶意网站,并在用户访问可疑网页时显示警报。如果用户点击网络钓鱼链接,这些工具可以帮助减轻损害。
- 企业网络安全解决方案(例如安全编排、自动化和响应 (SOAR) 以及安全信息和事件管理 (SIEM) 平台)使用 AI 和自动化来检测和响应异常活动。这些解决方案可以帮助阻止试图安装恶意软件或接管帐户的网络钓鱼者。
脚注
所有链接均为 ibm.com 外部链接
1 俄罗斯黑客如何窥探 Clinton 竞选活动电子邮件。美联社。2017 年 11 月 4 日。
2 网络罪犯如何瞄准亚马逊 Prime Day 购物者。TechRepublic。2022 年 7 月 6 日。
3 此诈骗者如何利用网络钓鱼电子邮件从 Google 和 Facebook 窃取超过 1 亿美元。CNBC。2019 年 3 月 27 日。
4、5 网络钓鱼活动趋势报告(PDF,3.6 MB)。反网络钓鱼工作组。2024 年 2 月 13 日。
6 二维码钓鱼是新的网络钓鱼攻击。ZDNET。2023 年 12 月 11 日。
7 亲戚惊慌失措打来电话?FTC 警告说,这可能是使用语音克隆的诈骗者。NPR。2023 年 3 月 22 日。