如果你已經(jīng)有了郵箱賬號(hào)或社交媒體個(gè)人資料，很可能你已經(jīng)遇到了某種類(lèi)型的網(wǎng)絡(luò)釣魚(yú)。一句話(huà)解釋?zhuān)W(wǎng)絡(luò)釣魚(yú)就是通過(guò)社會(huì)工程偷盜個(gè)人信息的詐騙嘗試：犯罪欺詐行為。

[[183454]]

威瑞森最新的《數(shù)據(jù)泄露調(diào)查報(bào)告》指出：社會(huì)工程對(duì)目標(biāo)用戶(hù)的有效程度依然令人心驚，2016年超過(guò)30%的網(wǎng)絡(luò)釣魚(yú)消息都被打開(kāi)了——2014年釣魚(yú)消息打開(kāi)比例僅為24%。甚至有專(zhuān)家稱(chēng)，沒(méi)有任何一個(gè)地區(qū)、行業(yè)或公司可以躲過(guò)網(wǎng)絡(luò)釣魚(yú)。

進(jìn)一步分析發(fā)現(xiàn)，憑證滲漏和交易秘密盜竊，依然是黑客的主要?jiǎng)訖C(jī)，而網(wǎng)絡(luò)釣魚(yú)的威脅正處于令人擔(dān)心的上升過(guò)程。非營(yíng)利組織“反網(wǎng)絡(luò)釣魚(yú)工作組(APWG)”的發(fā)現(xiàn)印證了該觀點(diǎn)。APWG發(fā)現(xiàn)零售業(yè)是最常被鎖定的目標(biāo)，有記錄的攻擊就超過(guò)了40%。

AOL、盜版軟件與網(wǎng)絡(luò)釣魚(yú)的起源

社會(huì)工程技術(shù)一直就是犯罪教科書(shū)的一部分;最早的網(wǎng)絡(luò)釣魚(yú)案例，發(fā)生在20多年前。90年代初期，攻擊者將曾經(jīng)流行的AOL平臺(tái)鎖定為目標(biāo)，使用即時(shí)消息誘騙用戶(hù)透露他們的口令。

這些攻擊者鎖定高價(jià)值目標(biāo)的耗時(shí)不算太長(zhǎng)，毫無(wú)戒備的受害者在“不驗(yàn)證賬單信息就馬上刪除賬戶(hù)”的壓力之下，往往很快就什么都吐露了。進(jìn)一步演化，犯罪團(tuán)伙不僅能獲得受害者的AOL憑證，他們的銀行賬號(hào)和支付卡信息也不能幸免。

AOL強(qiáng)化了他們的反欺詐行動(dòng)，實(shí)現(xiàn)新方法以主動(dòng)刪除涉嫌網(wǎng)絡(luò)釣魚(yú)的賬戶(hù)。這是決定性的一擊，迫使攻擊者轉(zhuǎn)而搜索新的機(jī)會(huì)。

犯罪活動(dòng)

網(wǎng)絡(luò)釣魚(yú)伴隨著粗制濫造的電子郵件進(jìn)入主流，這些郵件滿(mǎn)是拼寫(xiě)錯(cuò)誤、低分辨率的圖片和設(shè)計(jì)問(wèn)題，用戶(hù)很容易就能分辨出這些所謂的“跡象”。

同時(shí)，用戶(hù)也習(xí)慣于將拼寫(xiě)錯(cuò)誤等同于網(wǎng)絡(luò)釣魚(yú)，而將拼寫(xiě)、語(yǔ)法和展示無(wú)錯(cuò)的網(wǎng)站默認(rèn)為合法的。還有另一個(gè)慣性思維是，“HTTPS==100%安全”——研究人員經(jīng)常發(fā)現(xiàn)有威脅活動(dòng)使用 Let’s Encrypt 憑證(使用域名驗(yàn)證SSL)來(lái)灌輸危險(xiǎn)的錯(cuò)誤安全感。

如果想了解網(wǎng)絡(luò)釣魚(yú)研究前沿，可以在推特上粉“惡意軟件獵手團(tuán)隊(duì)”。該團(tuán)隊(duì)由@JAMESWT_MHT、@techhelplistcom和@demonslay335組成，發(fā)現(xiàn)并摧毀針對(duì)iCloud、PayPal和Facebook之類(lèi)服務(wù)用戶(hù)的惡意活動(dòng)。

Wombat Security Technologies 在其開(kāi)篇的《網(wǎng)絡(luò)釣魚(yú)狀態(tài)》報(bào)告中提示了幾點(diǎn)意見(jiàn)。該調(diào)查報(bào)告發(fā)布于2016年1月，發(fā)現(xiàn)點(diǎn)擊率最高的網(wǎng)絡(luò)釣魚(yú)活動(dòng)涉及的話(huà)題，都是人們?cè)谌粘９ぷ髦薪?jīng)常遇到的那些，包括物流確認(rèn)和HR文書(shū)。

有趣的是，雇員在打開(kāi)以“快速致富”計(jì)劃、獎(jiǎng)勵(lì)和競(jìng)賽為噱頭的郵件時(shí)，反而更加謹(jǐn)慎?？紤]到我們可以從這些報(bào)告中抽取的普世經(jīng)驗(yàn)時(shí)，一個(gè)明顯的發(fā)現(xiàn)就是，網(wǎng)絡(luò)釣魚(yú)依然是各種攻擊的主催化劑。

魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)

過(guò)去10年里最?lèi)好颜玫囊恍┚W(wǎng)絡(luò)犯罪，就拿零售連鎖店、大學(xué)和銀行來(lái)說(shuō)吧，都是由某用戶(hù)打開(kāi)了一封魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)郵件引發(fā)的。傳統(tǒng)網(wǎng)絡(luò)釣魚(yú)采用廣撒網(wǎng)戰(zhàn)術(shù)，寄希望于中獎(jiǎng)似的機(jī)會(huì)，魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)則是高度針對(duì)性的。

技術(shù)研究公司 Vanson Bourne 將成功魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊的平均經(jīng)濟(jì)影響定位在160萬(wàn)美元。利用收集到的信息和開(kāi)源情報(bào)(OSINT)饋送，黑客為精選出來(lái)的一小部分雇員精心編制個(gè)性化的誘餌郵件。

由于魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)郵件如此與眾不同，傳統(tǒng)信譽(yù)和垃圾郵件過(guò)濾往往檢測(cè)不出其中包含的惡意內(nèi)容。魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊還能結(jié)合進(jìn)發(fā)家偽造、多態(tài)URL和偷渡式下載來(lái)規(guī)避常規(guī)防護(hù)措施。

釣鯨和CEO詐騙

釣鯨，是用來(lái)描述專(zhuān)門(mén)針對(duì)單一高調(diào)商業(yè)目標(biāo)的網(wǎng)絡(luò)釣魚(yú)攻擊的。CEO、部門(mén)主管和其他高管級(jí)員工，代表著公司的大魚(yú)。

釣鯨攻擊中，黑客發(fā)送的郵件都帶有精心制作的托辭——往往圍繞“緊急電匯”或金融交易編織而成。因此，釣鯨往往被等同于CEO詐騙和商業(yè)電子郵件入侵(BEC)騙局。

新興技術(shù)

1. 社交媒體欺騙

2016年末，Proofpoint報(bào)道了網(wǎng)絡(luò)罪犯冒用英國(guó)銀行客戶(hù)服務(wù)部門(mén)推特資料的事。這些高級(jí)黑客模仿了銀行員工的命名慣例、可見(jiàn)資產(chǎn)和特殊習(xí)慣。

網(wǎng)絡(luò)罪犯用與你真實(shí)客戶(hù)支持賬號(hào)相似的昵稱(chēng)，創(chuàng)建極具可信度的虛假客戶(hù)服務(wù)賬號(hào)。然后，他們等待客戶(hù)向真實(shí)賬號(hào)求助。當(dāng)你的客戶(hù)試圖聯(lián)系公司時(shí)，罪犯就會(huì)通過(guò)發(fā)自虛假支持頁(yè)面的虛假客戶(hù)支持鏈接來(lái)劫持對(duì)話(huà)。

這種別名為“安康魚(yú)”的網(wǎng)絡(luò)釣魚(yú)攻擊方法(注意別與Angler漏洞利用工具包搞混了)，因?yàn)榭蛻?hù)早已預(yù)期收到公司的回復(fù)，而成功率極高。在最近的《社交媒體品牌欺詐報(bào)告》中，Proofpoint發(fā)現(xiàn)，與10家全球品牌有關(guān)的社交媒體賬號(hào)中，近20%都是虛假的。

2. 勒索軟件和軟定位

PhishMe的2016第1季度《惡意軟件綜述》發(fā)現(xiàn)，有記錄的所有網(wǎng)絡(luò)釣魚(yú)郵件中，92%都含有某種加密勒索軟件。到了第3季度，該數(shù)字增長(zhǎng)到了97%。

研究人員指出，Locky繼續(xù)領(lǐng)跑最靈活勒索軟件變種家族，犯罪團(tuán)伙不斷精煉其構(gòu)造和投放方式。軟定位和廣分布攻擊的使用也是關(guān)鍵;“軟定位”部署的網(wǎng)絡(luò)釣魚(yú)，介于釣鯨攻擊和大規(guī)模網(wǎng)絡(luò)釣魚(yú)郵件之間。

PhishMe的報(bào)告，給讀者留下了令人不安的結(jié)論：

對(duì)勒索軟件的快速意識(shí)和關(guān)注，迫使攻擊者轉(zhuǎn)移和迭代他們的戰(zhàn)術(shù)，無(wú)論攻擊載荷還是投放方式。這一持續(xù)的韌性顯示出，僅僅意識(shí)到網(wǎng)絡(luò)釣魚(yú)和威脅，是不夠的。

3. Dropbox和 Google Drive

基于云存儲(chǔ)服務(wù)的網(wǎng)絡(luò)釣魚(yú)活動(dòng)，比如 Google Drive 和Dropbox，已經(jīng)存在好些年了。這些在形式上通常很傳統(tǒng)——用鏈接和暗示導(dǎo)引受害者到虛假登錄頁(yè)面。

最近就有人遇到過(guò)罪犯將圖像偽裝成Gmail里的PDF附件，但實(shí)際上就是個(gè)導(dǎo)引用戶(hù)到谷歌賬戶(hù)釣魚(yú)網(wǎng)站的鏈接。

保持安全的6條建議：

1. 避免回復(fù)可疑郵件或與發(fā)送者產(chǎn)生聯(lián)系

2. 自己打開(kāi)網(wǎng)站——不要點(diǎn)擊嵌入的鏈接或媒體

3. 警惕含有催促或威脅意味的托辭

4. 用帶外通信核實(shí)請(qǐng)求和信息

5. 檢查瀏覽器以確保反網(wǎng)絡(luò)釣魚(yú)服務(wù)是啟用的

6. 使用口令管理器;不要跨多個(gè)網(wǎng)站重用同樣的口令