網路犯罪分子的七種主要釣魚誘餌網路犯罪劇本中最古老的技巧之一就是網路釣魚。它於1995年首次出現在數位領域,當時每天都有成千上萬的人湧向America Online(AOL)。如果我們了解網路犯罪分子的一件事,那就是他們傾向於追隨大眾。在較早的迭代中,由於鏈接拼寫錯誤,奇數鏈接重定向和其他贈品,網路釣魚嘗試很容易被發現。但是,當今的網路釣魚魚技巧已經變得個性化,高級化,並且籠罩在新的偽裝中。因此,讓我們來看一些不同的類型,實際示例以及如何識別網路釣魚誘餌。 警惕可疑電子郵件 每天,用戶都會收到數千封電子郵件。有些很重要,但大多數只是普通的垃圾。這些電子郵件通常會被過濾到垃圾郵件文件夾中,其中通常會誘騙網路釣魚電子郵件。但是有時它們會穿越漏洞,進入主收件箱。這些消息通常具有緊急請求,要求用戶輸入敏感信息或通過外部鏈接填寫表格。這些網路釣魚電子郵件可以承擔許多角色,例如銀行機構,受歡迎的服務和大學。因此,請始終保持警惕並在提供任何信息之前仔細檢查來源。 鏈接外觀 鏈接操縱是電子郵件釣魚的一種兄弟形式,是指網路犯罪分子在緊急請求或最後期限的威脅下向用戶發送指向惡意網站的鏈接。單擊欺騙性鏈接後,將用戶帶到網路犯罪分子的假冒網站,而不是真實或經過驗證的鏈接,並要求其輸入或驗證個人詳細信息。去年,正是這種情況發生了,當時幾所大學和企業因聯邦快遞偽裝成包裹運送問題而參加了一場運動。該方案提醒人們,任何人都可能會陷入網絡犯罪陷阱,這就是為什麼用戶在單擊時始終必須小心,並確保聲明和鏈接來源的有效性。要檢查有效性,直接聯繫消息來源以查看通知或請求是否合法始終是一個好主意。 去捕鯨 公司高管一直是網路犯罪分子的高級目標。這就是為什麼高級職員在網路罪犯試圖進行網路釣魚時會使用特殊名稱的原因- 捕鯨。聽起來像個愚蠢的名字不過是什麼。在這種複雜且個性化的攻擊中,網路犯罪分子試圖操縱目標以獲得金錢,商業秘密或員工信息。近年來,組織變得越來越聰明,反過來,捕鯨速度也變慢了。但是,在增長放緩之前,由於網路犯罪分子冒充最高管理層成員並向低級員工索要公司信息,因此許多公司受到數據洩露的打擊。為了避免這種令人討厭的網路釣魚嘗試,請培訓高級管理人員以識別網路釣魚,並鼓勵在所有設備和帳戶上使用唯一的強密碼。 矛目標獲得 就像電子郵件垃圾郵件和鏈接操縱是網路釣魚的兄弟一樣,捕鯨和魚叉式網路釣魚也是如此。捕鯨攻擊針對特定組織的高級主管,而魚叉式網路釣魚則針對特定組織的低級員工。魚叉釣魚與捕鯨一樣具有選擇性和復雜性,它以特定組織的成員為目標,以獲取對關鍵信息的訪問權限,例如員工憑證,知識產權,客戶數據等。魚叉式網路釣魚攻擊往往更有利可圖而不是氾濫的網路釣魚攻擊,這就是為什麼網路犯罪分子通常會花更多的時間來製作和從這些特定目標獲取個人信息的原因。為避免陷入這種網路釣魚方案,員工必須接受適當的安全培訓,以便他們知道在看到網路誘餌時如何發現網路誘餌。 欺騙內容 在網站上可以點擊的東西太多了,不難理解為什麼網路犯罪分子會利用這一事實。內容欺騙正是基於該概念-網路犯罪分子會更改可靠網站頁面上的內容部分,以將毫無戒心的用戶重定向到非法網站,然後要求他們輸入個人詳細信息。避免這種網路釣魚方案的最佳方法是檢查URL是否與主域名匹配。 在搜索引擎池塘中進行網路釣魚 當用戶在線搜索某些內容時,他們希望獲得可靠的資源。但有時,網路釣魚站點可能會悄悄潛入合法結果。這種策略稱為搜索引擎網路釣魚,其中涉及對搜索引擎進行操縱以顯示惡意結果。通過產品或服務的折扣優惠將用戶吸引到這些站點。但是,當用戶購買上述產品或服務時,欺騙性站點會收集其個人詳細信息。為了確保安全,請特別注意可能會出現粗略的廣告,如有疑問,請始終先瀏覽到官方網站。 誰叫誰? 隨著新技術的出現,網路犯罪分子嘗試和獲取個人數據的新途徑。網路釣魚或語音網路釣魚是這些新途徑之一。路罪犯通過電話與用戶聯繫,並要求用戶撥打電話以使用偽造的呼叫者ID通過電話接收可識別的銀行帳戶或個人信息。例如去年,一位安全研究人員從他們的金融機構接到電話,說他們的卡已被盜。該銀行建議不提供任何補發卡,而只是簡單地阻止以後進行的任何針對特定地理位置的交易。感覺到情況已經發生了,研究人員掛斷了電話,撥了他的銀行-他們沒有通話記錄或欺詐性卡交易記錄。這種情況聽起來很複雜,但它提醒用戶在共享任何個人信息之前,始終必須直接與企業進行仔細檢查。 如您所見,網路釣魚具有各種形狀和大小。該博客僅介紹了網路犯罪分子誘使毫無戒心的用戶進入網路釣魚陷阱的所有方式。受到保護的最佳方法是投資於全面的安全性並及時了解新的網路釣魚詐騙。 資料來源: https://securingtomorrow.mcafee.com/consumer/mobile-and-iot-security/the-seven-main-phishing-lures-of-cybercriminals/
|