鲸鱼网络钓鱼或鲸钓是一种特殊的网络钓鱼攻击,通过欺诈性电子邮件、短信或电话针对公司高管进行诈骗。这些邮件经过精心编写,旨在操纵收件人授权向网络罪犯支付大笔款项,或泄露敏感或有价值的公司或个人信息。
鲸鱼网络钓鱼的目标是公司高管层(首席执行官、首席财务官、首席运营官)、其他高级管理人员、政治官员和组织领导者,他们可以在未经他人批准的情况下授权大额付款或电汇或发布敏感信息。这些目标被称为鲸鱼,这是一个俚语,指的是比普通人能获得更多资金的客户(或赌徒)。
了解网络钓鱼、鱼叉式网络钓鱼和鲸鱼网络钓鱼之间的关系非常重要,这主要是因为这些术语经常互换使用、错误使用或在没有上下文的情况下使用。
网络钓鱼是任何欺诈性电子邮件、短信或电话,旨在诱骗用户下载恶意软件(通过恶意链接或文件附件)、共享敏感信息、向犯罪分子汇款或采取其他使自己或其组织面临网络犯罪的行为。
拥有计算机或智能手机的任何人都收到过批量网络钓鱼攻击,基本上是一条看似来自知名企业或组织的表单消息,描述了常见或可信的情况并要求采取紧急行动,例如,您的信用卡已被拒绝。请点击下面的链接更新您的付款信息。单击该链接的收件人将被带到恶意网站,该网站可能会窃取他们的信用卡号或将恶意软件下载到他们的计算机上。
批量网络钓鱼活动是一场数字游戏:攻击者向尽可能多的人发送消息,因为他们知道一定比例的人会被诱骗上钩。一项研究在 2022 年的六个月内检测到超过 2 亿 5500 万条网络钓鱼消息(ibm.com 外部链接)。根据 IBM 的《2022 年数据泄露成本》报告,网络钓鱼是 2022 年数据泄露的第二大常见原因,也是向受害者提供勒索软件的最常见方法。
鱼叉式网络钓鱼是一种针对组织内特定个人或群体的网络钓鱼攻击。鱼叉式网络钓鱼攻击通常是针对可以授权付款或数据传输的中层管理人员(应付帐款经理、人力资源总监)发起的,攻击者伪装成目标的上司或目标信任的同事(例如供应商、业务合作伙伴、顾问)。
鱼叉式网络钓鱼攻击比批量网络钓鱼攻击更加个性化,并且需要更多的工作和研究。但是,额外的工作可以为网络罪犯带来回报。例如,2013 年至 2015 年间,鱼叉式网络钓鱼者通过冒充合法供应商并诱骗员工支付欺诈性发票,从 Facebook 和 Google 窃取了超过 1 亿美元(ibm.com 外部链接)。
鲸鱼网络钓鱼或鲸钓攻击是专门针对高级管理人员或官员的鱼叉式网络钓鱼攻击。攻击者通常冒充目标所属组织内的同事,或者来自另一个组织的同等或更高级别的同事或伙伴。
鲸鱼网络钓鱼消息是高度个性化的,攻击者煞费苦心地模仿实际发件人的写作风格,并在可能的情况下引用正在进行的实际业务对话的上下文。鲸鱼网络钓鱼诈骗者通常会监视发件人与目标之间的对话;许多诈骗者会尝试劫持发件人的实际电子邮件或短信帐户,并直接从那里发送攻击消息,确保最高真实性。
由于鲸钓攻击针对的是可以授权大额付款的个人,有可能为攻击者提供更高的直接回报。
鲸钓有时等同于商业电子邮件泄露 (BEC),这是另一种鱼叉式网络钓鱼攻击,攻击者向目标发送看似来自同事或伙伴的欺诈性电子邮件。BEC 并不总是鲸钓(因为它经常针对较低级别的员工),鲸钓也并不总是 BEC(因为它并不总是涉及电子邮件),但许多成本最高的鲸钓攻击也涉及 BEC 攻击。例如:
网络钓鱼、鱼叉式网络钓鱼和鲸鱼网络钓鱼都是社会工程学攻击 的例子,这些攻击主要利用人的漏洞而不是技术漏洞来危及安全。由于它们留下的数字证据比恶意软件或黑客攻击少得多,因此,安全团队和网络安全专业人员更难以检测或预防这些攻击。
大多数鲸钓攻击的目的是通过欺骗高级官员向欺骗性的供应商或银行账户进行电汇、授权或下令电汇,从而从组织窃取大量资金。但鲸钓攻击可能还有其他目标,包括
同样,大多数鲸鱼网络钓鱼攻击都是出于贪婪。但他们的动机也可能是针对高管或公司的个人恩怨、竞争压力或社会或政治活动。针对高级政府官员的鲸钓攻击可能是独立或国家支持的网络恐怖主义行为。
网络罪犯会选择对他们的目标拥有访问权限的鲸鱼,以及与他们选中的鲸鱼有关联的发件人。例如,对于想要拦截向公司供应链合作伙伴付款的网络罪犯,可能会假冒供应链合作伙伴的首席执行官向该公司的首席财务官发送发票,并要求付款。想要窃取员工数据的攻击者可能会冒充首席财务官,并向人力资源副总裁请求工资信息。
为了使发件人的信息可信且具有说服力,鲸钓诈骗者会细致地研究他们的目标和发件人以及他们工作的组织。
由于人们在社交媒体和其他网络环境中进行大量分享和对话,诈骗者只需搜索社交媒体网站或网络就可以找到他们需要的大量信息。例如,只需研究潜在目标的 LinkedIn 个人资料,攻击者就可以了解该人的职位、职责、公司电子邮件地址、部门名称、同事和业务合作伙伴的姓名和头衔、最近参加的活动和出差计划。
根据具体目标,诈骗者还可从主流媒体、商业媒体和地方媒体获取额外信息,例如,传闻或已完成的交易、招标项目、预计的建筑成本。根据行业分析公司 Omdia 的一份报告,黑客经过约 100 分钟的常规 Google 搜索后,就能够编制出令人信服的鱼叉式网络钓鱼电子邮件(ibm.com 外部链接)。
但是,在准备鲸鱼网络钓鱼攻击时,诈骗者通常会采取重要的额外步骤,攻击目标和发件人以收集其他材料。这可以很简单,只需用间谍软件感染目标和发件人的计算机,诈骗者就能够查看文件内容来进行进一步研究。更有野心的诈骗者会侵入发件人的网络并访问发件人的电子邮件或短信帐户,他们可以在其中观察并将自行加入到实际对话中。
需要攻击时,诈骗者将发送攻击邮件。最有效的鲸鱼网络钓鱼邮件似乎适合正在进行的对话的背景,包括对特定项目或交易的详细引用,呈现可信的情况(一种称为假脱 的社会工程学策略)并提出同样可信的请求。例如,伪装成公司首席执行官的攻击者可能会向首席财务官发送以下邮件:
根据我们昨天的谈话,附上处理 BizCo 收购案的律师开具的发票。请按照合同规定,在明天下午美国东部时间 5 点之前付款。谢谢!
在此示例中,所附发票可能是律师事务所的发票副本,经过修改以直接付款到诈骗者的银行账户。
为了让目标觉得真实,鲸钓邮件可能会融合多种社会工程学策略,包括:
与所有网络钓鱼攻击一样,鲸鱼网络钓鱼攻击是最难应对的网络攻击之一,因为传统(基于签名)的网络安全工具并不总是能够识别它们。许多情况下,攻击者只需要绕过“人”安全防御。鲸鱼网络钓鱼攻击尤其具有挑战性,因为它们的针对性和个性化内容使它们对目标或观察者更具说服力。
尽管如此,各组织仍然可以采取一些措施来帮助减轻鲸鱼网络钓鱼的影响,即使不能完全防止此类攻击。
安全意识培训。由于鲸鱼网络钓鱼利用了人的漏洞,因此员工培训是抵御这些攻击的重要防线。反网络钓鱼培训可能包括
自适应多重身份验证。 实施多重身份验证(除了用户名和密码之外还需要一个或多个凭据)和/或自适应身份验证(当用户从不同设备或位置登录时需要额外的凭据)可以防止黑客访问用户的电子邮件帐户,即使他们能够窃取用户的电子邮件密码。
安全软件。没有任何一种安全工具可以完全阻止鲸鱼网络钓鱼,但有几种工具可以发挥作用,防止鲸鱼网络钓鱼攻击或最大限度地减少造成的损害:
捕捉其他人容易错过的高级威胁。QRadar SIEM 利用分析和 AI 来监控威胁情报、网络和用户行为异常,并优先处理需要立即关注和补救的事项。
IBM Trusteer Rapport 通过保护零售和企业客户,帮助金融机构检测和预防恶意软件感染和网络钓鱼攻击。
利用这种复杂且易于使用的端点检测和响应 (EDR) 解决方案,保护端点免受网络攻击、检测异常行为并近乎实时地进行修复。