網絡釣魚

什麼是網絡釣魚(phishing)以及如何避免它?

通過 Waleed Ahmed

16 July 2021

2 Mins Read

“尊敬的客戶,

我們注意到有人試圖從其他國家/地區從您的帳戶中提取 1,000 美元。如果您沒有提取金額,我們相信它是由未知的第三方嘗試的。

請轉到以下鏈接以驗證您的帳戶信息以保護您的帳戶:URL。”

這句話是否敲響了警鐘?

好吧,我們都看到了相當多的欺詐性但誘人的電子郵件,要求我們分享我們的個人信息。它通常是一封來自律師的電子郵件,通知我們一位給我們留下一筆財富的百萬富翁去世了。要獲得這筆財富,我們必須滿足一些重要要求,包括分享敏感細節。

這就是專家所說的網絡釣魚(phishing)。如果您落入這些欺詐性電子郵件或消息之一的陷阱,則意味著您已被網絡釣魚、搶劫、欺騙、欺騙或任何您所說的。

網絡釣魚

欺詐性電子郵件是網絡釣魚的眾多形式之一。網絡犯罪分子可以通過多種方式誘騙潛在目標。如果您不想成為它的受害者,我們建議您了解什麼是網絡釣魚、它的類型、如何發現它,最重要的是,如何避免它。

什麼是網絡釣魚(phishing)?

定義

網絡釣魚

/ˈfɪʃɪŋ/

名詞: 網絡釣魚

發送聲稱來自信譽良好的公司的電子郵件以誘使個人透露個人信息(例如密碼和信用卡號)的欺詐行為。

牛津語言詞典

網絡釣魚(phishing)是網絡犯罪分子武器庫中最常見但最有效的數字武器。網絡犯罪分子通常通過電子郵件進行網絡釣魚攻擊,將自己偽裝成可信來源並誘騙收件人點擊惡意鏈接或下載附件。

網絡釣魚meme

每一次網絡攻擊都有其背後的目的,網絡釣魚攻擊也是如此。網絡犯罪分子使用這些攻擊從接收者那裡獲取個人或業務關鍵信息。

如果是個人數據,例如銀行或信用卡詳細信息,黑客將使用它來獲取經濟利益,例如竊取受害者的個人資金。如果是企業數據,例如業務網絡的憑據,則可用於破壞業務或造成聲譽或經濟損失。

在對 1,650 名受訪者進行的GDPR 基準調查中,德勤發現 59% 的人不太可能從涉及數據洩露的公司購買產品,而 25% 的人表示信任度較低。

為了讓您清楚了解,以下是黑客通過網絡釣魚攻擊提取的數據類型的細分

  • 個人信息:姓名、電子郵件地址、社會安全號碼。
  • 信用卡信息:CC號碼、PIN號碼、用戶名、密碼。
  • 商業信息:專利、銷售預測、產品洞察。
  • 銀行信息:在線憑證、帳號、PIN。
  • 醫療信息:保險索賠。

網絡釣魚不是新創建的網絡武器。它自 1990 年代中期就已存在,隨著時間的推移,網絡釣魚攻擊變得更加先進和高效,足以針對大型網絡或人群。

如果我們考慮到事實,僅在 2019 年,全球約有88% 的企業經歷了魚叉式網絡釣魚攻擊(其中一種)。

好的,讓我們暫時將統計數據放在一邊,看看這種普遍存在的威脅的歷史,這種威脅自出現之日起就一直是一股不可忽視的力量。

網絡釣魚簡史

網絡釣魚(phishing)一詞與“釣魚”平行。該攻擊用於誘騙毫無戒心的用戶,就像漁夫使用誘餌捕魚一樣。現在,您可能想知道:那為什麼不稱之為“釣魚”呢?

好吧,在黑客攻擊的早期,黑客會稱自己為 phreak。當時,竊聽是黑客用來破壞電信系統的一種技術。現在,您明白為什麼將其稱為“網絡釣魚”了嗎?

那麼,網絡釣魚是從哪裡開始的呢?這一切都始於 AOL,它是 1990 年代最大的互聯網服務提供商之一,擁有超過一百萬的訂戶。

steampunk

時間線

1990年

黑客在 AOL 上建立了一個軟件社區,他們最初在那裡交易盜版工具。(Warez 是“軟件”的簡寫。)後來,他們開始竊取 AOL 用戶的用戶名和密碼。連同他們創建的算法,他們開始通過被盜數據生成信用卡信息。

然後使用假信用卡創建 AOL 帳戶,向其他 AOL 用戶發送垃圾郵件。

1995年

AOL針對算法和虛假賬戶制定對策時,黑客轉向了欺騙電子郵件。這是網絡釣魚最初開始的地方。黑客偽裝成 AOL 員工,開始向 AOL 用戶發送虛假電子郵件。

由於網絡釣魚當時是一個新概念,而且電子郵件看起來與 AOL 的電子郵件完全相似,黑客發現誘使不知情的用戶共享他們的個人信息相對容易。

2003年

網絡犯罪分子將注意力轉向了第一種數字貨幣,即E-Gold。使用相同的冒充策略,網絡詐騙者成功地誘騙 E-Gold 客戶分享他們的憑據。結果,用戶的帳戶甚至在他們知道之前就被耗盡了。

然而,由於在線支付系統立即採取行動阻止網絡釣魚,詐騙者無法在將 E-Gold 趕出企業方面取得任何重大成功。

同年,當網絡釣魚在黑客社區廣受歡迎時,詐騙者開始註冊類似於真實實體的虛假域名,例如 eBay 和 PayPal。

他們使用虛假電子郵件誘騙毫無戒心的 eBay 和PayPal 用戶,並說服用戶分享他們的個人信息和信用卡詳細信息。

2004年

通過在較小的目標上練習他們新發現的武器並提高他們的技能,網絡詐騙者轉向更大、更有回報的目標,如全球銀行網站。

2004-2005年

直到 2004 年和 2005 年,全世界才開始看到網絡釣魚攻擊造成的重大損失。據估計,由於網絡釣魚攻擊,美國用戶遭受了約 9.29 億美元的巨額損失。

儘管有無數的安全措施和意識信息,但迄今為止,個人和組織仍然是網絡釣魚的受害者。一個可能的原因是,多年來網絡釣魚變得相當複雜,騙子設計了各種方法來瞄準獵物。

4 種最常見的網絡釣魚類型/技術

網絡釣魚(phishing)攻擊可以通過多種方式在全球範圍內實施。我們創建了一份關於網絡釣魚類型的詳細指南,您可以閱讀。但是,在這裡,我們將討論網絡犯罪分子最喜歡的四種最常見的技術:

1. 魚叉式網絡釣魚

中國古代稱槍為“兵器之王”。這可能是因為它的效率、射程以及它可能造成的傷害。魚叉式網絡釣魚同樣有效和強大。

魚叉式網絡釣魚

圖片來源:Cofense

魚叉式網絡釣魚是有針對性的網絡釣魚形式之一。它用於針對特定的個人或實體。黑客首先識別目標,盡可能了解他們的所有信息,然後定制一封具有更高機會達到預期結果的欺騙性電子郵件。不出所料,確實如此!

據 SANS Institute 主任稱,95% 的對組織的成功攻擊都是魚叉式網絡釣魚的結果。

2. 克隆釣魚

克隆網絡釣魚可能比星球大戰電影系列中的克隆士兵更有效。顧名思義,黑客會從可信來源克隆真正的電子郵件。他們在克隆或欺騙版本中使用與電子郵件相同的通信方式,只是鏈接或附件被替換為惡意版本。

惡意鏈接會將受害者帶到另一個欺騙性網站,或者只是出於其他惡意原因(例如創建殭屍網絡)將惡意軟件安裝到用戶的系統。

3. Smishing

Smishing 攻擊通常被稱為文本網絡釣魚。在這裡,受害者會收到詐騙者發送的虛假短信,詐騙者可能會冒充彩票主持人或稅務人員。

Smishing

圖片來源:數字趨勢

欺騙性文本消息通常包含將用戶定向到在用戶設備上安裝惡意軟件的惡意站點的鏈接。該惡意軟件用於竊取用戶的個人信息,如信用卡詳細信息、位置、圖片等。

4. 製藥

如果克隆網絡釣魚(phishing)用於通過偽造的克隆電子郵件來欺騙用戶,則通過向用戶提供虛假版本的合法網站來進行欺騙攻擊。由於黑客託管網站,他們可以輕鬆竊取用戶在網站上使用的信息。

一些域名欺詐攻擊甚至使用被黑客劫持的真實網站來竊取用戶數據。

其他眾所周知的類型包括vishing和社會工程。

現實生活中的網絡釣魚詐騙

讓我們看看一些真實的網絡釣魚(phishing)案例,以更好地了解如何讓您暴露在這種廣泛存在的網絡威脅之下。

冠狀病毒網絡釣魚詐騙

COVID-19 大流行已經在全球奪走了數十萬人的生命,迫使人們呆在家裡。地球上的每個人都在經濟上、情感上或兩者上都在遭受這種流行病的後果。

在這些需要的時候,當人們必須保持更強大並相互更富有同情心時,一些腐敗的人已經將這種可怕的情況變成了機會。

詐騙者採取了不同的途徑來誘使受驚嚇的人陷入網絡釣魚詐騙,以達到欺詐和其他邪惡目的。當COVID-19 首次襲擊我們時,詐騙者開始發送看似來自美國衛生與公眾服務部的虛假短信。

vishing-gmail-nc

圖片來源:BBC.com

該文本包含註冊鏈接,其中包含 Covid 測試強制執行的消息。實際上,這些鏈接包含詐騙者用來收集受害者個人信息的惡意軟件。

根據谷歌威脅分析小組的報告,從正確的角度來看,超過1800 萬封與 Covid 相關的網絡釣魚電子郵件和網站被阻止。

總統選舉網絡釣魚詐騙

在總統選舉期間,網絡釣魚詐騙佔據了前列。由於投票登記已轉為在線,這給了騙子欺騙選民的瘋狂機會。另一方面,隨叫隨到的註冊也不安全。事實上,美國部門不鼓勵隨叫隨到的選民登記。

詐騙者向選民發送網絡釣魚電子郵件和短信,聲稱他們的註冊不完整,他們需要添加個人信息進行註冊,其中包括他們的社會安全號碼。

一些電子郵件包含欺騙性網站,選民被重定向到填寫帶有真實個人信息的虛假表格,最終使他們面臨欺詐和其他威脅。

如何發現網絡釣魚攻擊

網絡釣魚(phishing)可以成為黑客攻擊的有效工具。但是,如果您知道網絡釣魚的一些基本跡象,您可以立即發現它。讓我們來看看網絡釣魚的一些常見標識符:

1. 主動請求

發送網絡釣魚電子郵件以收集敏感信息,例如用戶名、密碼或社會安全號碼。請記住,真正的公司絕不會要求您通過電話或電子郵件分享這些敏感詳細信息。事實上,真正的電子郵件很少包含任何附件或要求您下載附件。

主動請求

從下面的示例圖像中,您可以看到未經請求的電子郵件具有非常通用的消息,並且他們要求您下載附件或更新您的憑據是多麼直率。

2. 通用書面電子郵件

發現網絡釣魚電子郵件的最簡單方法之一是檢查電子郵件的書寫質量。一些網絡釣魚電子郵件包含糟糕的語言,存在印刷和語法錯誤。此類電子郵件通常充斥著這些錯誤。

大企業和小企業都不會發送充滿錯誤的電子郵件,因為他們有專業的作家來製作他們的電子郵件。一封寫得不好的電子郵件會損害公司的品牌形象。

也就是說,有些人認為這些電子郵件是故意發送的,目的是過濾掉容易被攻擊的目標

3. 域名錯誤

合法企業也擁有用於電子郵件的品牌域名。例如,來自 PureVPN 的電子郵件如下所示:[email protected]

這是另一個可以幫助您識別未經請求或偽造的電子郵件地址的線索。黑客會使用不正確或拼寫錯誤的域名來欺騙毫無戒心的用戶,例如 [email protected]

由於此類拼寫錯誤的域名不會被發現,乍一看,它使黑客有機會說服用戶成功冒充合法公司的員工或代表。

4. 非品牌電子郵件地址

如上所述,如果您從 PureVPN 的一位代表處收到電子郵件地址,則該電子郵件地址將如下所示:[email protected]

另一方面,一些欺騙性電子郵件使用通用電子郵件地址來釣魚目標。他們可能會在主題中使用合法組織的名稱或作為發件人姓名,但他們的電子郵件可能來自通用電子郵件地址,例如 @gmail.com。

非品牌電子郵件地址

圖片來源:WeLiveSecurity

合法公司不使用通用電子郵件地址。他們僅將其品牌電子郵件地址用於所有營銷和非營銷電子郵件。

5. 緊急/引起恐慌的電子郵件

電子郵件地址的平均打開率為 17.8%,電子郵件中提供的鏈接的平均點擊率為 14%。

如果黑客向 2,000 個潛在目標群發送一封未經請求的通用電子郵件,則大約 350 個收件人將打開該電子郵件,並且 49 人會點擊該鏈接,前提是他們被成功欺騙。

緊急引起恐慌的電子郵件

圖片來源:郵件衛士

詐騙者非常熟悉這些行業統計數據,而且由於他們是一群貪婪的人,他們希望盡可能多地瞄準獵物。因此,他們創建緊急或由恐慌引起的電子郵件消息以產生盡可能多的點擊。

為了避免此類網絡釣魚攻擊,重要的是您要花時間仔細閱讀電子郵件並冷靜地判斷電子郵件中對您的要求是否合理。

採取這些預防措施防止網絡釣魚

現在您知道如何識別網絡釣魚(phishing)電子郵件,是時候了解您需要採取的預防措施,以避免成為這種令人髮指但又聰明的網絡攻擊的受害者。

1. 學習如何發現網絡釣魚

我們上面提到的發現技術非常清楚,可以幫助您在數英里之外識別網絡釣魚詐騙。嘗試詳細了解如何嗅探詐騙電子郵件、信息或電話。您為發現網絡釣魚積累的知識越多,就越容易避免。

2. 安裝一個好的殺毒工具

有時,詐騙電子郵件是如此令人信服,以至於您情不自禁落入他們的陷阱。很多時候,是最脆弱的時刻將我們引向那些陷阱。無論如何,一個好的防病毒工具可以保護您免受這些電子郵件的影響。

由於某些網絡釣魚電子郵件包含將惡意軟件下載到您的系統的惡意鏈接,因此您可以藉助防病毒軟件阻止該惡意軟件進入您的硬盤。

這些工具會不斷更新病毒和惡意軟件數據,讓您可以保護您的系統免受現代惡意軟件攻擊。

3. 安裝反釣魚瀏覽器插件

反網絡釣魚工具欄或瀏覽器擴展程序可以成為打擊網絡釣魚詐騙的附加武器。這些工具欄也會定期更新,以確保用戶免受惡意網站或大型網絡釣魚組織的廣告網絡的侵害。

4. 總是放棄彈出窗口

彈出窗口一直是我們瀏覽體驗的麻煩。它們會傷害眼睛並分散我們的注意力。有時,黑客甚至會劫持真正的網站,並在其中植入針對訪問者的惡意彈出窗口。

這些廣告彈出窗口還會將您帶到惡意網站或將惡意軟件自動安裝到您的系統。使用廣告或彈出窗口攔截器來阻止您的瀏覽器打開這些未經請求的網站。

5. 警惕吸引詐騙的事件

警惕世界上最受歡迎的事件,因為它們也往往會吸引網絡犯罪分子,最終導致網絡釣魚和其他網絡威脅。以總統選舉為例,當網絡犯罪分子積極參與網絡釣魚選民時。

如果您希望防止這些騙局讓您成為他們的獵物,請練習安全瀏覽。不要打開未經請求的電子郵件。不要點擊電子郵件中的鏈接。並且不要像提供慈善一樣提供個人信息。

6. 使用兩步驗證

雙因素身份驗證是抵禦許多網絡威脅的最有效方法之一。由於 2 因素身份驗證會提示雙重驗證,因此黑客或詐騙者很難通過成功的黑客嘗試過程。

嘗試對您擁有的每個重要帳戶(例如銀行帳戶、電子郵件帳戶等)實施 2 因素身份驗證。

永遠不要點擊您在任何電子郵件中看到的任何鏈接。如果必須,請仔細檢查網絡釣魚電子郵件的明顯跡象,例如不正確的電子郵件地址、欺騙域名或電子郵件消息。

如果系統要求您訪問您的銀行帳戶或任何社交媒體帳戶以更新您的個人資料,只需直接轉到您的帳戶並在那裡進行。換句話說,不要點擊電子郵件中的鏈接。轉到新的瀏覽器,打開一個新選項卡,然後直接鍵入銀行網站的 URL。如果請求是合法的,您將在網站上看到一個彈出窗口,通知您這一事實。

如果你被釣魚了怎麼辦

如果您認為發現網絡釣魚或採取任何預防措施為時已晚並且已被網絡釣魚,您需要立即採取以下步驟:

  • 轉到Identitytheft.Gov並按照他們的說明保護自己免受潛在的身份盜用,這通常是網絡釣魚的結果。
  • 如果您單擊了惡意鏈接並最終下載了惡意軟件,請立即升級您的防病毒軟件並運行它來掃描您的系統。此外,更新系統的操作系統以修補任何已知漏洞。
  • 盡快從其他設備更改您帳戶的憑據,例如密碼。
  • 獲取數據的所有備份,並運行系統還原到以前的備份。

總結…

那麼,什麼是網絡釣魚?這是一種騙局,詐騙者冒充合法的人或實體竊取您的敏感數據,這可能會導致身份盜用、勒索和欺詐,僅舉幾例。

你怎麼能預防呢?您可以通過了解不同的網絡釣魚類型、如何安全瀏覽以及如何發現它們來做到這一點。

網絡釣魚是一種全球威脅,迄今已造成數十億美元的損失。這種攻擊之所以如此有效,是因為它針對的是人類。技術或許能夠阻止它,但我們是脆弱的情感生物。因此,請主動更新您的詞彙表,以便您可以輕鬆發現並避免網絡釣魚詐騙。

Comments are closed.

成為超過300萬擁有互聯網自由的用戶的一員

訂閱PureVPN,即可獲得完整的在線安全性和隱私,並具有隱藏的IP地址和加密的互聯網瀏覽。