在典型的批量网络钓鱼攻击中，黑客会制作看似来自知名企业、组织甚至名人的欺诈性消息。然后，他们“散发并祈祷有人上钩”，向尽可能多的人不加区分地发送这些网络钓鱼消息，希望至少有一小部分人上当受骗，交出社会保障编号、信用卡号或账户密码等有价值的信息。

另一方面，鱼叉式网络钓鱼攻击是针对有权访问特定资产的特定个人的有针对性的攻击。

确定目标

大多数鱼叉式网络钓鱼攻击旨在通过诱骗某人向欺诈性供应商或银行账户付款或电汇，或诱骗他们泄露信用卡号、银行帐号或其他机密或敏感数据，从组织窃取大笔资金。

但是鱼叉式网络钓鱼活动可能还有其他破坏性目标：

• 传播勒索软件或其他恶意软件，例如，威胁参与者可能会发送恶意电子邮件附件，例如 Microsoft Excel 文件，该附件在打开时会安装恶意软件。
  

• 窃取用户名和密码等凭证，黑客可利用这些凭证发起更大规模的攻击。例如，黑客可能会向目标发送指向欺诈性网页的恶意链接，该欺诈性网页会引导目标“更新您的密码”。
  

• 窃取个人数据或敏感信息，如客户或员工的个人数据、公司财务或商业机密。

选择一个或多个目标

接下来，鱼叉式网络钓鱼者会确定一个合适的目标：可以直接访问黑客想要的资源的个人或群体，或者可以通过下载恶意软件间接提供访问权限的个人或群体。

鱼叉式网络钓鱼攻击通常针对具有网络或系统较高访问权限的中层、低层或新员工，他们在遵守公司政策和程序方面可能不太严格。典型的受害者包括有权付款的财务经理、具有管理员级别网络访问权限的 IT 管理员以及有权访问员工个人数据的人力资源经理。（其他类型的鱼叉式网络钓鱼攻击专门针对高管级别的员工；请参阅下面的“鱼叉式网络钓鱼、捕鲸和 BEC”。）

研究目标

攻击者通过研究目标信息来假冒目标身边的人：目标信任的人或组织，或者目标要对其负责的人。

由于人们在社交媒体和其他网络媒体上随意分享大量信息，网络罪犯不费吹灰之力就能找到这些信息。根据 Omdia 的一份报告，黑客经过大约 100 分钟的常规 Google 搜索后可以制作出令人信服的鱼叉式网络钓鱼电子邮件。一些黑客可能会侵入公司电子邮件帐户或消息传递应用，并花费更多时间观察对话以收集更详细的信息。

编制和发送消息

利用这项研究，鱼叉式网络钓鱼者可以创建有针对性的网络钓鱼信息，这些信息看起来可信，来自可信的来源或个人。

例如，假设“Jack”是 ABC Industries 的应付账款经理。通过简单地查看 Jack 的公开 LinkedIn 个人资料，攻击者可能会找到 Jack 的职位、职责、公司电子邮件地址、部门名称、上司的姓名和职位以及合作伙伴的姓名和职位。然后，他们使用这些详细信息向他发送一封来自他的上司或部门主管的可信电子邮件：

你好，Jack：

我知道你在处理 XYZ Systems 的发票。他们刚刚告诉我，他们正在更新付款流程，今后所有付款都要转到一个新的银行账户。这是他们最新的发票，其中包含新账户的详细信息。你今天可以付款吗？

电子邮件通常包含一些视觉线索，可以一目了然地强化被冒充发件人的身份，例如欺骗性电子邮件地址（例如，显示被冒充发件人的显示名称，但隐藏欺诈性电子邮件地址）、抄送类似的欺骗性同事电子邮件或电子邮件签名带有 ABC Industries 公司徽标。一些诈骗者能够侵入被冒充发件人的实际电子邮件帐户，并从那里发送电子邮件，以达到最高的真实性。

另一种计策是将电子邮件与短信网络钓鱼（称为短信网络钓鱼或短信钓鱼）或语音网络钓鱼（称为语音钓鱼）结合起来。例如，电子邮件可能没有附上发票，而是指示 Jack 拨打 XYZ Systems 应付账款部门的电话，而这个电话的接听人就是欺诈者。

鱼叉式网络钓鱼攻击大量使用社会工程技术。有些计策利用心理压力或动机来欺骗或操纵人们采取他们不应该或通常不会采取的行动。

冒充公司高级职员（如上面的鱼叉式网络钓鱼电子邮件）就是一个例子。员工惯于尊重权威，潜意识里对违背高管人员的命令存有恐惧，即使这些命令不合常规。鱼叉式网络钓鱼攻击依赖于其他社会工程技巧，包括：

• 借口假托：编造一个目标认可并可能产生共鸣的逼真故事或情境，例如，“您的密码即将过期......”
  

• 制造紧迫感：例如，冒充供应商，声称某项关键服务的付款已经逾期。

• 诉诸情感或潜意识动机：试图引发目标的恐惧、内疚或贪婪，提及目标关心的事由或事件，甚至只是提供帮助。例如，“这里有一个网站链接，出售您一直在寻找的电脑配件。”

大多数鱼叉式网络钓鱼活动都结合了多种社会工程计策。例如，目标的直接经理发来一条消息：“我马上就要登机了，但我的电池快没电了，请赶快帮我电汇到 XYZ Corp.，这样我们就不用支付滞纳金了”。

虽然任何针对特定个人或群体的网络钓鱼攻击都是鱼叉式网络钓鱼攻击，但也有一些值得注意的子类型。

捕鲸（有时称为鲸鱼网络钓鱼）是一种鱼叉式网络钓鱼，其目标是有个人光环的高价值受害者，通常是董事会成员或 C 级高管，但也包括非公司目标，如名人和政客。捕鲸者的追逐的只是这些目标能提供的猎物：巨额现金，或获取高价值或高度机密的信息。与其他鱼叉式网络钓鱼攻击相比，捕鲸式攻击通常需要更详细的研究，这也是毋庸置疑的。

商业电子邮件入侵 (BEC) 是一种专门针对企业的鱼叉式网络钓鱼。BEC 的两种常见形式包括：

• CEO 欺诈：诈骗者冒充 C 级高管的电子邮件帐户，或直接侵入该帐户，并向一名或多名较低级别员工发送消息，指示他们将资金转移到欺诈性账户或从欺诈性供应商处进行购买。
  

• 电子邮件帐户泄露 (EAC)：诈骗者获得较低级别员工（例如财务、销售、研发经理）的电子邮件帐户的访问权限，并使用它向供应商发送欺诈性发票，指示其他员工进行欺诈性付款或存款，或请求访问机密数据。

成功的 BEC 攻击是代价最高的网络犯罪之一。在一个最著名的 BEC 例子中，黑客冒充首席执行官 (CEO) 说服公司财务部门将 4,200 万欧元转入欺诈性银行账户。

网络钓鱼攻击是最难对付的网络攻击之一，因为传统（基于签名的）网络安全工具并不总能识别它们；在许多情况下，攻击者只需越过“人”这一安全防线即可。

鱼叉式网络钓鱼攻击尤其具有挑战性，因为它们的针对性和个性化内容使它们对普通人更具说服力。但是，组织可以采取一些步骤来帮助减轻鱼叉式网络钓鱼的影响（即使不能完全防止鱼叉式网络钓鱼攻击）：

安全意识培训。由于鱼叉式网络钓鱼利用了人性，因此员工培训是抵御这些攻击的重要防线。安全意识培训可以包括：

• 向员工教授识别可疑电子邮件的技巧，例如，检查电子邮件发件人姓名中是否存在欺诈性域名。
  

• 关于如何避免在社交网站上“过度分享”的提示。
  

• 良好的工作习惯，例如，绝不打开未经请求的附件、通过第二渠道确认不寻常的付款请求、致电供应商确认发票、直接导航到网站而不是点击电子邮件中的链接
  

• 鱼叉式网络钓鱼模拟，员工可以在其中运用所学知识。

多重身份验证和自适应身份验证。实施多重身份验证（除了用户名和密码之外还需要一个或多个凭据）和/或自适应身份验证（当用户从不同的设备或位置登录时需要额外的凭据），可以防止黑客访问用户的电子邮件帐户，即使他们能够窃取用户的电子邮件密码。

安全软件。没有任何一种安全工具可以完全防止鱼叉式网络钓鱼，但有几种工具可以发挥作用，防止鱼叉式网络钓鱼攻击或最大限度地减少造成的损害：

• 一些电子邮件安全工具，例如垃圾邮件过滤器和安全电子邮件网关，可以帮助检测和转移鱼叉式网络钓鱼电子邮件。
  

• 防病毒软件可以帮助消除由鱼叉式网络钓鱼引起的已知恶意软件或勒索软件感染。

• 安全 Web 网关和其他网络过滤工具可以阻止鱼叉式网络钓鱼电子邮件中链接的恶意网站。
  
  
• 系统和软件补丁可以弥补鱼叉式网络钓鱼者经常利用的技术漏洞。

• 企业安全解决方案可以帮助安全团队和安全运营中心 (SOC) 检测和拦截与鱼叉式网络钓鱼攻击相关的恶意流量和网络活动。这些解决方案包括（但不限于）安全协调、自动化和响应 (SOAR)、安全事件和事件管理 (SIEM)、端点检测和响应 (EDR)、网络检测和响应 (NDR) 以及扩展检测和响应 (XDR)。