當(dāng)提到網(wǎng)絡(luò)釣魚時，大多數(shù)人首先想到的是電子郵件釣魚。然而，隨著攻擊者手段的不斷升級，網(wǎng)絡(luò)釣魚技術(shù)正日趨多樣化，其中一些相對鮮為人知但卻日益猖獗的攻擊方式正對用戶構(gòu)成嚴峻威脅。以下是Knowbe4創(chuàng)始人Stu Sjouwerman分享的八種隱蔽而又流行的釣魚攻擊手段：

1.SEO中毒攻擊

每月都有成千上萬的新釣魚網(wǎng)站涌現(xiàn)，攻擊者利用搜索引擎優(yōu)化（SEO）技術(shù)，使這些惡意網(wǎng)站能夠輕松出現(xiàn)在搜索結(jié)果中。例如，當(dāng)用戶搜索“下載Photoshop”或“PayPal賬戶”時，可能會遇到與合法網(wǎng)站極為相似的偽裝頁面，誘使用戶提供個人信息或點擊惡意鏈接。此外，攻擊者還會劫持搜索引擎的企業(yè)列表，通過篡改聯(lián)系信息，將用戶引導(dǎo)至偽造的“官方”頁面，從而進一步欺騙受害者。

2.付費廣告騙局

網(wǎng)絡(luò)犯罪分子越來越多地利用付費廣告作為釣魚攻擊的載體。他們通過展示廣告、按點擊付費廣告或社交媒體廣告，將用戶引導(dǎo)至惡意網(wǎng)站，誘騙他們下載惡意應(yīng)用或泄露個人信息。一些攻擊者甚至在這些廣告中嵌入惡意軟件（即“惡意廣告”），進一步擴大釣魚的攻擊面。

3.社交媒體釣魚

社交媒體平臺成為了黑客的另一個獵場。攻擊者可以通過偽造賬戶、冒充名人或可信聯(lián)系人，發(fā)布含有惡意鏈接的評論或信息，誘導(dǎo)用戶點擊。此外，游戲、賭博、星座占卜、金融投資等應(yīng)用也常被用來收集用戶的敏感信息。甚至，深度偽造技術(shù)（deepfake）也被用于散布虛假信息，制造混亂。

4.二維碼釣魚

顧名思義，二維碼釣魚是指利用二維碼實施的釣魚攻擊。例如，黑客通過在餐廳菜單、停車計費單、活動邀請函等地方貼上惡意二維碼，誘騙用戶掃描二維碼后，進入釣魚網(wǎng)站或進行不安全的支付。數(shù)據(jù)顯示，二維碼攻擊在過去一年內(nèi)激增了587%。

5.APP釣魚

移動應(yīng)用釣魚指的是攻擊者通過移動應(yīng)用商店分發(fā)惡意APP應(yīng)用，誘導(dǎo)用戶下載后，竊取其個人信息或金融數(shù)據(jù)。這些惡意APP有時會偽裝成合法的應(yīng)用，甚至模仿流行應(yīng)用。以安卓系統(tǒng)為例，近期研究人員在Google Play商店中發(fā)現(xiàn)了90多個惡意應(yīng)用，下載量超過550萬次。

6.回撥釣魚

回撥釣魚是一種社會工程攻擊，攻擊者通過偽造的客服電話或幫助臺號碼，誘導(dǎo)受害者撥打電話以獲取進一步的信息。撥釣魚通常通過電子郵件或短信來引導(dǎo)受害者回撥。

7.云端釣魚攻擊

隨著云服務(wù)的普及，攻擊者開始利用云端服務(wù)平臺發(fā)起釣魚攻擊。例如，黑客通過協(xié)同辦公軟件發(fā)送釣魚消息，或者在云存儲服務(wù)中托管惡意網(wǎng)址，進而分發(fā)釣魚鏈接。通過這些手段，攻擊者能夠繞過傳統(tǒng)的網(wǎng)絡(luò)防護機制，發(fā)動更隱蔽的攻擊。

8.內(nèi)容注入攻擊

攻擊者還會利用軟件、設(shè)備、應(yīng)用程序中的漏洞，注入惡意內(nèi)容，欺騙用戶訪問惡意網(wǎng)站、下載惡意軟件或提交敏感信息。例如，攻擊者可以通過篡改網(wǎng)站的“聯(lián)系我們”的頁面信息，誘使用戶點擊惡意鏈接或撥打假冒的電話客服。

隨著AI工具的日益普及，攻擊者將能夠發(fā)起更加智能化、復(fù)雜化和個性化的釣魚攻擊。企業(yè)必須加強安全培訓(xùn)，并定期開展意識提升活動，確保員工具備應(yīng)對日益復(fù)雜的社會工程攻擊的能力，從而有效保護敏感數(shù)據(jù)和公司資產(chǎn)的安全。