網(wǎng)絡(luò)釣魚攻擊的9種類型以及如何識別它們

您了解捕鯨和克隆網(wǎng)絡(luò)釣魚中的魚叉式網(wǎng)絡(luò)釣魚和電話釣魚嗎？本文將解釋如何識別每種類型的威脅，因為AI開創(chuàng)了冒充詐騙的深度偽造時代。

Credit: JLStock / Shutterstock

每一次數(shù)據(jù)泄露和在線攻擊似乎都涉及某種網(wǎng)絡(luò)釣魚嘗試，以竊取密碼憑據(jù)、發(fā)起欺詐交易或誘騙某人下載惡意軟件。事實上，Verizon的2024年數(shù)據(jù)泄露調(diào)查報告發(fā)現(xiàn)，網(wǎng)絡(luò)釣魚仍然是與泄露相關(guān)的主要威脅行為之一。

企業(yè)會定期提醒用戶提防網(wǎng)絡(luò)釣魚攻擊，但許多用戶并不真正知道如何識別它們。而人類往往不善于識別騙局。

根據(jù)Proofpoint的2024年網(wǎng)絡(luò)釣魚狀況報告，超過70%的員工承認(rèn)存在使他們?nèi)菀资艿焦舻奈ｋU行為。這既說明了攻擊者的老練，也說明了對同樣復(fù)雜的安全意識培訓(xùn)的需求，而許多公司未能充分提供這些培訓(xùn)。再加上并非所有網(wǎng)絡(luò)釣魚詐騙的運作方式都相同——有些是通用的電子郵件群發(fā)，而另一些則是精心設(shè)計的，以非常特定類型的人為目標(biāo)——并且訓(xùn)練用戶知道消息何時可疑變得越來越困難。

讓我們看看不同類型的網(wǎng)絡(luò)釣魚攻擊以及如何識別它們。

01、網(wǎng)絡(luò)釣魚Phishing：大眾市場電子郵件

常見的網(wǎng)絡(luò)釣魚形式是一般的群發(fā)郵件類型，即有人冒充其他人發(fā)送電子郵件，并試圖誘騙收件人做某事，通常是登錄網(wǎng)站或下載惡意軟件。攻擊通常依賴于電子郵件欺騙，其中電子郵件標(biāo)頭（發(fā)件人字段）是偽造的，使郵件看起來像是由受信任的發(fā)件人發(fā)送的。

但是，網(wǎng)絡(luò)釣魚攻擊并不總是看起來像UPS遞送通知電子郵件、PayPal發(fā)送的有關(guān)密碼過期的警告消息或有關(guān)存儲配額的Office365電子郵件。一些攻擊是專門針對組織和個人的，而另一些則依賴于電子郵件以外的方法。隨著生成式AI的興起，網(wǎng)絡(luò)釣魚嘗試變得越來越“極具說服力”，并且可以更快地創(chuàng)建，這表明舊的詐騙方式正在獲得新的生命。

02、魚叉式網(wǎng)絡(luò)釣魚Spear phishing：針對特定目標(biāo)

網(wǎng)絡(luò)釣魚攻擊得名于這樣一種觀念，即欺詐者通過使用欺騙性或欺詐性電子郵件作為誘餌來尋找隨機受害者。魚叉式網(wǎng)絡(luò)釣魚攻擊擴(kuò)展了釣魚的范圍 ，因為攻擊者專門針對高價值的受害者和組織。攻擊者可能會發(fā)現(xiàn)，與其試圖為1,000名消費者獲取銀行憑證，不如以少數(shù)企業(yè)為目標(biāo)更有利可圖。民族國家攻擊者可能會以為其他政府機構(gòu)工作的員工或政府官員為目標(biāo)，以竊取國家機密。例如，伊朗網(wǎng)絡(luò)間諜組織APT42以使用復(fù)雜的魚叉式網(wǎng)絡(luò)釣魚技術(shù)而聞名，這些技術(shù)涉及冒充受害者已知或感興趣的多個組織和個人。

魚叉式網(wǎng)絡(luò)釣魚攻擊非常成功，因為攻擊者花費了大量時間來制作特定于收件人的信息，例如引用收件人可能剛剛參加的會議，或者發(fā)送文件名引用收件人感興趣的主題的惡意附件。

在2017年的網(wǎng)絡(luò)釣魚活動中，Group74（又名Sofact、APT28、FancyBear）向網(wǎng)絡(luò)安全專業(yè)人員發(fā)送了一封電子郵件，假裝與美國網(wǎng)絡(luò)沖突會議有關(guān)，該會議由美國軍事學(xué)院的陸軍網(wǎng)絡(luò)研究所、北約合作網(wǎng)絡(luò)軍事學(xué)院和北約合作網(wǎng)絡(luò)防御卓越中心組織。雖然CyCon是一個真實的會議，但附件實際上是一個包含惡意VisualBasicforApplications（VBA）宏的文檔，該將下載并執(zhí)行名為Seduploader的偵察惡意軟件。

03、捕鯨Whaling：追捕大鯨魚

不同的受害者，不同的發(fā)薪日。專門針對企業(yè)高層管理人員的網(wǎng)絡(luò)釣魚攻擊稱為捕鯨，因為受害者被認(rèn)為具有很高的價值，并且被盜信息將比普通員工可能提供的信息更有價值。屬于CEO的帳戶憑證將比入門級員工打開更多的大門。目標(biāo)是竊取數(shù)據(jù)、員工信息和現(xiàn)金。

捕鯨還需要額外的研究，因為攻擊者需要知道預(yù)期的受害者與誰交流以及他們進(jìn)行的討論類型。示例包括對客戶投訴、法律傳票的引用，甚至是高管套房中的問題。攻擊者通常從社會工程開始，收集有關(guān)受害者和公司的信息，然后再精心制作將用于捕鯨攻擊的網(wǎng)絡(luò)釣魚消息。

04、企業(yè)電子郵件泄露BEC：冒充CEO

除了大規(guī)模分布的一般網(wǎng)絡(luò)釣魚活動外，犯罪分子還通過商業(yè)電子郵件泄露（BEC）詐騙和CEO電子郵件欺詐以財務(wù)和會計部門的關(guān)鍵個人為目標(biāo)。這些犯罪分子冒充財務(wù)官員和CEO，試圖誘騙受害者向未經(jīng)授權(quán)的賬戶轉(zhuǎn)賬。

通常，攻擊者通過利用現(xiàn)有感染或通過魚叉式網(wǎng)絡(luò)釣魚攻擊來入侵高級管理人員或財務(wù)官的電子郵件帳戶。攻擊者潛伏并監(jiān)控高管的電子郵件活動一段時間，以了解公司內(nèi)部的流程和程序。實際的攻擊采用虛假電子郵件的形式，看起來像是來自受感染高管的帳戶，被發(fā)送給普通收件人。這封電子郵件似乎很重要且很緊急，它要求收件人向外部或不熟悉的銀行賬戶發(fā)送電匯。這筆錢最終進(jìn)入了攻擊者的銀行賬戶。

FBI 2022年的數(shù)據(jù)表明，盡管勒索軟件興起，但企業(yè)通過BEC攻擊造成的損失總體上增加了51倍。BEC騙局最近也隨著多階段攻擊而呈現(xiàn)出新的維度。因此，公司必須確保他們擁有全面的BEC政策文件，以幫助指導(dǎo)員工并通過遵循預(yù)定義的規(guī)則讓他們感到更安全。

05、克隆網(wǎng)絡(luò)釣魚Clone phishing：當(dāng)副本同樣有效時

克隆網(wǎng)絡(luò)釣魚要求攻擊者創(chuàng)建合法消息的幾乎相同的副本，以誘騙受害者認(rèn)為它是真實的。該電子郵件是從類似于合法發(fā)件人的地址發(fā)送的，并且郵件的正文看起來與之前的郵件相同。唯一的區(qū)別是郵件中的附件或鏈接已被惡意附件或鏈接換掉。攻擊者可能會說一些類似必須重新發(fā)送原始版本或更新版本的內(nèi)容，以解釋為什么受害者再次收到“相同”消息。

這種攻擊基于以前看到的合法消息，使用戶更有可能受到攻擊。已經(jīng)感染了一個用戶的攻擊者可以使用此技術(shù)來攻擊另一個同樣收到正在克隆的消息的人。在另一種變體中，攻擊者可能會創(chuàng)建一個帶有欺騙域的克隆網(wǎng)站來欺騙受害者。

06、電話釣魚Vishing：電話網(wǎng)絡(luò)釣魚

電話釣魚代表“語音網(wǎng)絡(luò)釣魚”，它需要使用電話。通常，受害者會收到一個電話，其中包含偽裝成金融機構(gòu)通信的語音消息。例如，該消息可能會要求收件人撥打一個號碼并輸入他們的帳戶信息或PIN，以用于安全或其他官方目的。但是，該電話號碼會通過IP語音服務(wù)直接響鈴給攻擊者。

在2019年的一起復(fù)雜的電話釣魚騙局中，犯罪分子打電話給受害者，假裝是Apple技術(shù)支持，并為用戶提供一個電話號碼來解決“安全問題”。與舊的Windows技術(shù)支持騙局一樣，這種騙局利用了用戶對其設(shè)備被黑客入侵的恐懼。

鑒于AI能夠越來越準(zhǔn)確地通過音頻深度偽造復(fù)制已知聲音（見下文），AI的進(jìn)步有望使電話釣魚成為更陰險的攻擊媒介。

07、短信釣魚Smishing：通過短信進(jìn)行網(wǎng)絡(luò)釣魚

短信釣魚是“網(wǎng)絡(luò)釣魚”和“SMS”的合成詞，后者是大多數(shù)電話短信服務(wù)使用的協(xié)議，是一種使用誤導(dǎo)性短信欺騙受害者的網(wǎng)絡(luò)攻擊。目標(biāo)是誘騙您相信消息來自受信任的個人或組織，然后說服您采取行動，為攻擊者提供可利用的信息（例如，銀行帳戶登錄憑據(jù)）或訪問您的移動設(shè)備。

短信釣魚呈上升趨勢，因為人們比電子郵件更有可能閱讀和回復(fù)短信：98%的短信被閱讀，45%的短信被回復(fù)，而電子郵件的等效數(shù)字分別為20%和6%。用戶通常不如計算機上的手機對可疑消息的警惕性，而且他們的個人設(shè)備通常缺乏公司PC上可用的安全類型。

2022年對澳大利亞迪肯大學(xué)的短信釣魚攻擊表明了這類攻擊可能產(chǎn)生的影響。

08、雪鞋攻擊Snowshoeing：傳播有害信息

雪鞋攻擊或“打了就跑”垃圾郵件要求攻擊者通過多個域和IP地址推送郵件。每個IP地址發(fā)送的消息量較少，因此基于信譽或基于容量的垃圾郵件過濾技術(shù)無法立即識別和阻止惡意消息。一些郵件在過濾器學(xué)會阻止它們之前就進(jìn)入了電子郵件收件箱。

Hailstorm活動的工作方式與snowshoe相同，只是消息是在極短的時間內(nèi)發(fā)出的。一些冰雹攻擊在反垃圾郵件工具流行并更新過濾器以阻止未來的郵件時結(jié)束，但攻擊者已經(jīng)轉(zhuǎn)移到下一個活動。

09、深度偽造Deepfakes：基于AI的模擬

犯罪分子已經(jīng)開始轉(zhuǎn)向深度偽造來構(gòu)建更令人信服的網(wǎng)絡(luò)釣魚攻擊。為此，詐騙者使用人工智能在視頻中交換面孔，或冒充聲音來誘騙潛在商標(biāo)進(jìn)行公司欺詐轉(zhuǎn)移，作為企業(yè)電子郵件泄露式欺詐的一部分。

在迄今為止最引人注目的深度偽造攻擊之一中，設(shè)計和工程公司Arup的一名工人成為一種復(fù)雜的基于deepfake的騙局的受害者，導(dǎo)致2億港元（$25.6m）的損失。當(dāng)該工作人員收到執(zhí)行秘密事務(wù)的請求時，他最初起了疑心。然而，據(jù)新聞報道，這名員工在參加了一次視頻通話后打消了他的疑慮，當(dāng)時有深度偽造的“CFO”和公司的“其他員工”在場。

安全供應(yīng)商WithSecure稱，惡意行為者可以使用一系列原本合法的生成式AI工具，從其預(yù)期目標(biāo)的錄制語音摘錄或照片中創(chuàng)建深度偽造。例如，F(xiàn)aceSwap可用于將目標(biāo)的面部疊加在攻擊者創(chuàng)建的視頻上。同樣，根據(jù)WithSecure的安全顧問TomTaylor-MacLean的說法，Microsoft的VASA-1框架可能被濫用于從單個肖像照片和語音音頻樣本中創(chuàng)建深度偽造視頻。

學(xué)習(xí)識別不同類型的網(wǎng)絡(luò)釣魚

用戶不善于理解遭受網(wǎng)絡(luò)釣魚攻擊的影響。一個相當(dāng)精明的用戶可能能夠評估點擊電子郵件中鏈接的風(fēng)險，因為這可能會導(dǎo)致惡意軟件下載或后續(xù)索要錢財?shù)脑p騙消息。但是，天真的用戶可能會認(rèn)為什么都不會發(fā)生，或者最終收到垃圾郵件廣告和彈出窗口。只有最精明的用戶才能估計憑據(jù)盜竊和帳戶泄露的潛在損害。這種風(fēng)險評估差距使用戶更難掌握識別惡意消息的嚴(yán)重性。

組織需要考慮現(xiàn)有的內(nèi)部宣傳活動，并確保為員工提供識別不同類型攻擊的工具。組織還需要加強安全防御，因為一些傳統(tǒng)的電子郵件安全工具（如垃圾郵件過濾器）不足以抵御某些網(wǎng)絡(luò)釣魚類型。

來源：https://www.csoonline.com/article/563353/8-types-of-phishing-attacks-and-how-to-identify-them.html

文章來源：安全光年