網絡釣魚攻擊：類型、影響與防範

 

什麼是網絡釣魚？ 

 

網絡釣魚是一種社會工程攻擊，攻擊者利用電子郵件、訊息或社交媒體誘騙個人，危害其數據安全。威脅行為者常常冒充受信任的實體，欺騙受害者點擊惡意鏈接或洩露敏感憑據及個人資訊。這可能導致一系列網絡犯罪，包括數據竊取、身份欺詐和惡意軟件感染。 

 

網絡釣魚的類型 

 

網絡釣魚以多種形式出現，目標受害者從技術知識較少的個人到網絡安全專業人士不等。其策略各異，以利用不同的安全漏洞，例如缺乏網絡安全意識、貪圖優惠或在應對釣魚攻擊時的粗心大意。傳統網絡釣魚通常採用大規模作業的方式，不加選擇地針對大量個體，以實現更簡單的執行、更廣泛的覆蓋範圍和規模效應。常見的網絡釣魚類型包括： 

 

電子郵件釣魚： 最常見的網絡釣魚方式，網絡犯罪分子向大量潛在目標發送欺詐性電子郵件。受害者可能會被引導點擊惡意鏈接、洩露登錄憑據等機密信息，或下載包含惡意軟件的附件。為了提高欺騙性，攻擊者可能會使用偽造的電子郵件域名冒充銀行、在線服務或知名企業，這種策略被稱為電子郵件偽造（Email Spoofing）。 

 

短信釣魚（Smishing）： 通過短信而非電子郵件欺騙受害者。短信具有快速直達受害者的優勢，同時可以繞過電子郵件過濾系統，並通過製造緊迫感來提高受害者的上當率。 

 

語音釣魚（Vishing）： 通過電話誘騙受害者。攻擊者利用精心設計的言辭降低受害者的防備心，並增強自身可信度。經驗豐富的攻擊者會根據受害者的回應實時調整策略，以構建更具說服力的欺詐情境，從而成功欺騙受害者。 

 

魚叉式網絡釣魚（Spear Phishing）： 一種針對特定目標的定向攻擊，通常通過電子郵件進行。攻擊者會事先收集受害者的信息，例如姓名、職位、聯繫方式和項目詳情，然後根據這些信息偽造看似合法且與受害者職責相關的郵件或信息。這些郵件通常包含惡意鏈接或附件，旨在竊取登錄憑據等敏感信息，以實現未經授權的系統和數據訪問。一旦成功，攻擊者可以進一步擴大攻擊範圍，或進行更精準的攻擊，例如商業電子郵件入侵（BEC）和高級管理人員釣魚（Whale Phishing）。 

 

• 商業電子郵件入侵（BEC）： 攻擊者利用被攻陷或偽造的企業電子郵件賬戶，冒充高級管理人員或受信任的員工，誘騙受害者執行財務交易、更改付款信息或洩露敏感數據。 
• 高級管理人員釣魚（Whale Phishing）： 也稱為“捕鯨式網絡釣魚”，該方法主要針對企業的高管或其他高級官員。大多數捕鯨攻擊的目的是誘騙企業高管批准大額資金轉賬或洩露機密信息。 

 

 

 

釣魚攻擊的影響是什麼？ 

 

 

釣魚攻擊通常作為許多網絡威脅的初步入口點，允許攻擊者滲透並利用系統中的漏洞。這些網絡攻擊的例子包括惡意軟件傳播、勒索軟件攻擊、數據洩露以及高級持續性威脅（APT）。此類事件可能嚴重擾亂業務運營，導致數據盜竊、財務損失、利益相關者信任喪失等後果，具體取決於攻擊者的動機和事件的具體情況。 

  

 

釣魚攻擊如何運作：識別基本釣魚攻擊的跡象 

 

人類因素通常是組織網絡安全防禦中最薄弱的環節。識別釣魚攻擊的跡象對個人避免成為這些戰術的受害者至關重要。釣魚攻擊的一些明顯跡象包括： 

 

• 不尋常的請求：小心要求透露敏感信息或轉帳的請求。 
• 鏈接和域名不匹配：將鼠標懸停在電子郵件中的鏈接上，以驗證實際的 URL 目標，因為它可能與顯示的文本不同，這可能表示惡意軟件感染的嘗試。另一個明顯的跡象是電子郵件域名與發件人聲稱的組織不符，或者域名包含拼寫錯誤。 
• 可疑的附件：惡意文件可能偽裝成釣魚電子郵件或信息中的附件，如果下載或打開，可能導致惡意軟件感染。 
• 通用內容：批量釣魚攻擊通常使用沒有具體提及收件人姓名或其他驗證細節（如用戶名或賬戶號碼）的通用問候語。這些釣魚攻擊的內容往往可以重複用於其他目標，幾乎無需修改。 
• 強烈的情感和施壓技巧：攻擊者製造緊迫感，迫使受害者迅速行動並匆忙洩露機密信息。常見的方式包括設定時間限制或威脅延遲回應的後果。 
• 語言錯誤：釣魚電子郵件可能包含拼寫或語法錯誤，而合法公司的通信通常保持專業標準。 

 

 

高級釣魚攻擊 

 

除了易於識別的釣魚攻擊外，這些攻擊已發展得更加有針對性和複雜。高級釣魚攻擊採用策略性方法來欺騙潛在受害者，並繞過傳統的安全措施，給網絡安全專家帶來挑戰。 

  

中間人攻擊（AiTM）釣魚： 

 

AiTM 釣魚旨在通過中斷受害者與目標網站登錄頁面之間的流量來獲取未經授權的訪問權限。AiTM 釣魚可能採用以下兩種方法： 

 

• 反向代理方法：當點擊釣魚電子郵件或信息中的惡意鏈接時，受害者將被引導到一個存在於受害者與實際網站之間的代理伺服器。當受害者登錄網站時，信息通過代理轉發，攻擊者攔截以收集敏感憑證和會話 cookie。通過這些數據，攻擊者可以繞過多因素認證（MFA），並在網站或應用程序中冒充受害者。 
• 間接代理方法：此方法涉及攻擊者設置釣魚網站，而不是代理伺服器。它讓攻擊者可以根據攻擊目標自定義頁面。這些虛假網站使用看似真實的惡意 URL 來複製合法網站。 

  

AiTM 釣魚通常會升級為企業郵件詐騙（BEC）攻擊，當攻擊者利用獲取的信息冒充受害者並通過電子郵件操控其他方進行欺詐交易時。這種未經授權的訪問使攻擊者能夠進行各種惡意活動，包括數據盜竊和惡意軟件部署。 

 

同形字攻擊 

 

同形字是看起來相似的字符，用於創建看似合法的惡意電子郵件域名或 URL。例如，字母“I”和小寫字母“L”在某些字體中可能看起來相似，從而欺騙用戶其惡意意圖。以下是同形字的一個示例： 

 

隱形墨水釣魚 

 

隱形墨水技術涉及在電子郵件、鏈接或文檔中嵌入看不見的字符，使用像級聯樣式表（CSS）和超文本標記語言（HTML）等方法。攻擊者可能使用軟連字符、零寬連接符或零字體大小的文本。雖然用戶看到並閱讀一組內容，但安全郵件網關（SEG）會檢測隱藏的文本，並以不同的方式解釋內容，從而允許電子郵件通過。 

 

下面的示例演示了如何使用軟連字符的隱形墨水釣魚嘗試繞過 SEG 和其他檢測工具，使釣魚電子郵件進入受害者的收件箱。 

 

 

域名拼寫錯誤攻擊 

 

域名拼寫錯誤攻擊用於釣魚攻擊，通過使虛假的網站看起來可信和可靠。惡意行為者創建假網站，設計成看起來像合法網站，利用網址中的常見拼寫錯誤。例如，使用“amzon”代替“amazon”或“dbss”代替“dbs”。由於 URL 拼寫錯誤，進入這些假網站的用戶可能會在交易時洩露憑證。 

  

人工智能（AI）驅動的釣魚攻擊 

 

人工智能已經改變了釣魚攻擊，通過自動化這一過程並使其易於擴展。AI 和大語言模型可以快速生成高度個性化和具有說服力的釣魚電子郵件或消息，利用目標的公開信息。這消除了攻擊者手動研究的需求。 

此外，由 AI 支持的深度伪造釣魚技術進一步模糊了合法和欺詐性通信之間的界限，使用户越来越难以辨别二者的区别。随着钓鱼攻击变得更加可信和成本效益高，其频率和成功率将上升。 

  

 

 

如何防禦釣魚攻擊 

 

避免釣魚攻擊對個人和公司來說至關重要，以保護自己免受潛在威脅。以下是公司可以採取的一些措施： 

  

員工意識與培訓 

 

組織應教育員工網絡安全最佳實踐，例如在共享機密信息之前驗證來源的合法性，並謹慎處理垃圾郵件。還強烈建議組織通過進行模擬釣魚演練來加強釣魚威脅的意識。 

  

使用多因素認證（MFA） 

 

多因素認證透過要求在密碼之外進行額外驗證來增強登錄安全性。即使密碼被竊取，MFA也能有效阻止未經授權的訪問。 

 

實施基於域的消息認證、報告和一致性（DMARC） 

 

DMARC 旨在防止電子郵件偽造，允許域所有者定義電子郵件的認證方式，並指定對未通過驗證的電子郵件採取的措施。這有助於保護個人和公司免受偽裝成可信域名的欺詐性電子郵件的攻擊。DMARC 可以與基於人工智能的電子郵件過濾服務結合使用，這些服務能夠檢測並阻止惡意電子郵件進入用戶的收件箱。 

  

建立終端安全措施 

 

終端設備容易受到釣魚攻擊。組織應通過以下措施加強其終端防禦： 

 

• 終端檢測與響應（EDR）解決方案：在檢測到攻擊時識別釣魚嘗試並自動執行必要的響應措施。 
• 統一終端管理（UEM）：通過集中管理安全配置並確保所有設備上的軟件更新來進一步加強此防禦，包括管理電子郵件過濾和釣魚保護設置。 
• 反釣魚軟件：直接部署在終端設備上，通過掃描和過濾電子郵件、阻止惡意鏈接或附件等功能增強保護。 

  

 

安信的專利反釣魚套件

 

雖然標準的網絡安全協議和措施為組織提供了一層防護，但它們可能對巧妙的釣魚攻擊者無效。 

 

我們認識到這些先進欺騙策略的演變，並不斷創新以領先於威脅行為者。我們的釣魚與深度偽造檢測解決方案，由安信實驗室設計，部署了我們專利的釣魚檢測套件，有效檢測釣魚域名。該系統包括四個模塊： 

 

• 同形字釣魚域名檢測模塊 
• 拼寫混淆釣魚域名檢測模塊 
• 通用釣魚域名檢測模塊 
• 警報模塊 

 

這一創新的釣魚檢測率超過了 95%，能夠應對零日釣魚攻擊和活動。除了我們的檢測能力，我們還為客戶提供有關其組織可能被針對的互聯網協議（IP）地址的洞察，並提供有關釣魚攻擊進展的最新信息。