鲸鱼网络钓鱼的目标是公司高管层（首席执行官、首席财务官、首席运营官）、其他高级管理人员、政治官员和组织领导者，他们可以在未经他人批准的情况下授权大额付款或电汇或发布敏感信息。这些目标被称为鲸鱼，这是一个俚语，指的是比普通人能获得更多资金的客户（或赌徒）。

了解网络钓鱼、鱼叉式网络钓鱼和鲸鱼网络钓鱼之间的关系非常重要，这主要是因为这些术语经常互换使用、错误使用或在没有上下文的情况下使用。

网络钓鱼是任何欺诈性电子邮件、短信或电话，旨在诱骗用户下载恶意软件（通过恶意链接或文件附件）、共享敏感信息、向犯罪分子汇款或采取其他使自己或其组织面临网络犯罪的行为。

拥有计算机或智能手机的任何人都收到过批量网络钓鱼攻击，基本上是一条看似来自知名企业或组织的表单消息，描述了常见或可信的情况并要求采取紧急行动，例如，您的信用卡已被拒绝。请点击下面的链接更新您的付款信息。单击该链接的收件人将被带到恶意网站，该网站可能会窃取他们的信用卡号或将恶意软件下载到他们的计算机上。

批量网络钓鱼活动是一场数字游戏：攻击者向尽可能多的人发送消息，因为他们知道一定比例的人会被诱骗上钩。一项研究在 2022 年的六个月内检测到超过 2 亿 5500 万条网络钓鱼消息（ibm.com 外部链接）。根据 IBM 的《2022 年数据泄露成本》报告，网络钓鱼是 2022 年数据泄露的第二大常见原因，也是向受害者提供勒索软件的最常见方法。

鱼叉式网络钓鱼是一种针对组织内特定个人或群体的网络钓鱼攻击。鱼叉式网络钓鱼攻击通常是针对可以授权付款或数据传输的中层管理人员（应付帐款经理、人力资源总监）发起的，攻击者伪装成目标的上司或目标信任的同事（例如供应商、业务合作伙伴、顾问）。

鱼叉式网络钓鱼攻击比批量网络钓鱼攻击更加个性化，并且需要更多的工作和研究。但是，额外的工作可以为网络罪犯带来回报。例如，2013 年至 2015 年间，鱼叉式网络钓鱼者通过冒充合法供应商并诱骗员工支付欺诈性发票，从 Facebook 和 Google 窃取了超过 1 亿美元（ibm.com 外部链接）。

鲸鱼网络钓鱼或鲸钓攻击是专门针对高级管理人员或官员的鱼叉式网络钓鱼攻击。攻击者通常冒充目标所属组织内的同事，或者来自另一个组织的同等或更高级别的同事或伙伴。

鲸鱼网络钓鱼消息是高度个性化的，攻击者煞费苦心地模仿实际发件人的写作风格，并在可能的情况下引用正在进行的实际业务对话的上下文。鲸鱼网络钓鱼诈骗者通常会监视发件人与目标之间的对话；许多诈骗者会尝试劫持发件人的实际电子邮件或短信帐户，并直接从那里发送攻击消息，确保最高真实性。

由于鲸钓攻击针对的是可以授权大额付款的个人，有可能为攻击者提供更高的直接回报。

鲸钓有时等同于商业电子邮件泄露 (BEC)，这是另一种鱼叉式网络钓鱼攻击，攻击者向目标发送看似来自同事或伙伴的欺诈性电子邮件。BEC 并不总是鲸钓（因为它经常针对较低级别的员工），鲸钓也并不总是 BEC（因为它并不总是涉及电子邮件），但许多成本最高的鲸钓攻击也涉及 BEC 攻击。例如：

• 2015 年，Ubiquity Networks 在短短 17 天内损失近 4,700 万美元（ibm.com 外部链接）。当时，鲸鱼网络钓鱼攻击者冒充该公司首席执行官兼首席法律顾问发送了电子邮件，说服首席会计官进行一系列电汇为秘密收购融资。
  
  
• 2018 年，Pathe Film Group 损失了 1,920 万欧元（合 2100 万美元）（ibm.com 外部链接）。当时，假装自己是 Pathe 法国总部首席执行官的诈骗者给 Pathe 荷兰办事处的首席执行官发了电子邮件，要求电汇为收购提供资金。
  
  
• 同样在 2018 年，攻击者冒充意大利 Tecnimont SpA 公司的首席执行官、高级管理人员和法律顾问，欺骗该公司印度业务部门的负责人，向香港的一家银行转账 13 亿印度卢比（合 1,825 万美元）（ibm.com 外部链接），表面上也是为收购提供资金。在该骗局中，攻击者采取了额外的步骤，举行了几次虚假的电话会议，装模作样地讨论“收购”细节。

网络钓鱼、鱼叉式网络钓鱼和鲸鱼网络钓鱼都是社会工程学攻击 的例子，这些攻击主要利用人的漏洞而不是技术漏洞来危及安全。由于它们留下的数字证据比恶意软件或黑客攻击少得多，因此，安全团队和网络安全专业人员更难以检测或预防这些攻击。

大多数鲸钓攻击的目的是通过欺骗高级官员向欺骗性的供应商或银行账户进行电汇、授权或下令电汇，从而从组织窃取大量资金。但鲸钓攻击可能还有其他目标，包括

• 窃取敏感数据或机密信息。这可能包括盗窃个人数据，例如员工工资信息或客户的个人财务数据。但鲸鱼网络钓鱼诈骗还会针对知识产权、商业秘密和其他敏感信息。
  
  
• 窃取用户凭据一些网络罪犯会发起初步的鲸鱼网络钓鱼攻击来窃取电子邮件凭据，以便可以从被劫持的电子邮件帐户发起后续的鲸鱼网络钓鱼攻击。其他人将盗用凭据来获得对目标网络上的资产或数据的高级访问权限。
  
  
• 植入恶意软件在鲸鱼网络钓鱼攻击中，有一种是试图诱骗目标打开恶意文件附件或访问恶意网站来传播勒索软件或其他恶意软件，这种情况占比相对较小。

同样，大多数鲸鱼网络钓鱼攻击都是出于贪婪。但他们的动机也可能是针对高管或公司的个人恩怨、竞争压力或社会或政治活动。针对高级政府官员的鲸钓攻击可能是独立或国家支持的网络恐怖主义行为。

网络罪犯会选择对他们的目标拥有访问权限的鲸鱼，以及与他们选中的鲸鱼有关联的发件人。例如，对于想要拦截向公司供应链合作伙伴付款的网络罪犯，可能会假冒供应链合作伙伴的首席执行官向该公司的首席财务官发送发票，并要求付款。想要窃取员工数据的攻击者可能会冒充首席财务官，并向人力资源副总裁请求工资信息。

为了使发件人的信息可信且具有说服力，鲸钓诈骗者会细致地研究他们的目标和发件人以及他们工作的组织。

由于人们在社交媒体和其他网络环境中进行大量分享和对话，诈骗者只需搜索社交媒体网站或网络就可以找到他们需要的大量信息。例如，只需研究潜在目标的 LinkedIn 个人资料，攻击者就可以了解该人的职位、职责、公司电子邮件地址、部门名称、同事和业务合作伙伴的姓名和头衔、最近参加的活动和出差计划。

根据具体目标，诈骗者还可从主流媒体、商业媒体和地方媒体获取额外信息，例如，传闻或已完成的交易、招标项目、预计的建筑成本。根据行业分析公司 Omdia 的一份报告，黑客经过约 100 分钟的常规 Google 搜索后，就能够编制出令人信服的鱼叉式网络钓鱼电子邮件（ibm.com 外部链接）。

但是，在准备鲸鱼网络钓鱼攻击时，诈骗者通常会采取重要的额外步骤，攻击目标和发件人以收集其他材料。这可以很简单，只需用间谍软件感染目标和发件人的计算机，诈骗者就能够查看文件内容来进行进一步研究。更有野心的诈骗者会侵入发件人的网络并访问发件人的电子邮件或短信帐户，他们可以在其中观察并将自行加入到实际对话中。

需要攻击时，诈骗者将发送攻击邮件。最有效的鲸鱼网络钓鱼邮件似乎适合正在进行的对话的背景，包括对特定项目或交易的详细引用，呈现可信的情况（一种称为假脱 的社会工程学策略）并提出同样可信的请求。例如，伪装成公司首席执行官的攻击者可能会向首席财务官发送以下邮件：

根据我们昨天的谈话，附上处理 BizCo 收购案的律师开具的发票。请按照合同规定，在明天下午美国东部时间 5 点之前付款。谢谢！

在此示例中，所附发票可能是律师事务所的发票副本，经过修改以直接付款到诈骗者的银行账户。

为了让目标觉得真实，鲸钓邮件可能会融合多种社会工程学策略，包括：

• 欺骗性电子邮件域。如果攻击者无法侵入发件人的电子邮件帐户，他们将创建相似的电子邮件域（例如，用 bill.smith@cornpany.com 代替 bill.smith@company.com）。鲸钓电子邮件还可能包含复制的电子邮件签名、隐私声明和其他视觉提示，使它们一眼看上去是真实的。
  
  
• 紧迫感。 时间压力（例如，提及关键截止日期或滞纳金）可能会促使目标更快地采取行动，而无需仔细考虑请求。
  
  
• 坚持保密。鲸钓邮件通常包含一些说明，例如请暂时保密，防止目标向可能质疑该请求的其他人询问。
  
  
• 语音网络钓鱼 (vishing) 备份。网络钓鱼消息越来越多地包含目标可以拨打以进行确认的电话号码。一些诈骗者通过语音邮件来跟进网络钓鱼电子邮件，这些语音邮件使用基于人工智能的方式模仿所声称发件人的声音。