数据结构
网络
关系数据库管理系统
操作系统
Java
MS Excel
iOS
HTML
CSS
Android
Python
C 编程
C++
C#
MongoDB
MySQL
Javascript
PHP
物理学
化学
生物学
数学
英语
经济学
心理学
社会学
时尚研究
法律研究什么是鱼叉式网络钓鱼以及如何避免它?
鱼叉式网络钓鱼是一种网络钓鱼,攻击者向具有共同特征或标识符的人群发送电子邮件。鱼叉式网络钓鱼邮件看起来像是来自可靠来源,但其目的是帮助攻击者获取商业机密或其他敏感信息。
一般来说,鱼叉式网络钓鱼与网络钓鱼之间的区别很微妙。典型的网络钓鱼尝试会模仿重要的金融机构或社交网络网站。它之所以有效是因为相当一部分人口在市场份额较大的公司拥有银行账户。
在鱼叉式网络钓鱼中,电子邮件看起来像是来自更接近受害者的实体,例如特定公司。攻击者的目的是获得可以信任的信息的访问权限。这就像在公司网站上查找首席执行官的姓名,然后以老板的名义向公司域电子邮件地址发送看起来像是来自老板的消息一样简单。
它是如何运作的?
鱼叉式网络钓鱼攻击旨在看起来像是来自信誉良好的来源,因为它们针对的是特定个人或群体。鱼叉式网络钓鱼计划需要大量的工作,就像电影中的双重间谍一样,包括伪装和假护照。鱼叉式网络钓鱼攻击的工作原理如下:
攻击者选择受害者并对其进行调查:因为鱼叉式网络钓鱼攻击非常具体,所以需要大量调查才能找到潜在的受害者并设计有效的欺诈。与其他类型的身份盗窃一样,社交媒体通常用于查找受害者,收集联系信息,并根据个人信息创建骗局。
创建定制的消息来欺骗受害者:如果消息是个性化的,那么欺诈性消息会更有说服力。网络罪犯利用欺骗和其他由其研究指导的技术来欺骗潜在受害者。攻击者可以创建看起来和感觉都像真实公司电子邮件的假电子邮件。它们也更成功,因为攻击针对受害者的重要详细信息。
当建立信任时,受害者就会上钩(被刺中):由于经过充分研究的电子邮件建立了信任,因此很容易成为鱼叉式网络钓鱼攻击的受害者。当诈骗广泛时,它们通常不成功且易于发现。受害者会忽略鱼叉式网络钓鱼攻击,因为它们具有个人特色。他们会被诱饵吸引,并点击指向虚假网站的链接,在那里他们会泄露个人信息或下载恶意软件(例如键盘记录器)。
在暗网上,攻击者可以购买有关潜在受害者的信息来创建鱼叉式网络钓鱼诈骗。数据泄露或其他入侵事件后,个人和有价值的信息通常在暗网上出售。
在鱼叉式网络钓鱼攻击中,攻击者使用什么信息?
攻击者利用任何信息来使鱼叉式网络钓鱼攻击更具说服力。如今,我们在网上分享了很多信息——我们的电子邮件、职位、社交和职业网络等等,所有这些信息都可以结合起来创建一个非常有说服力的鱼叉式网络钓鱼诈骗。
尽管鱼叉式网络钓鱼非常有效,但您可以通过保护您的个人信息并采取其他措施来防止身份盗窃来降低后果。使用强大且安全的防病毒软件是逃避鱼叉式网络钓鱼者所猎杀的危险水域的另一种方法。
为什么鱼叉式网络钓鱼如此成功?
因为与广泛的低技术诈骗不同,鱼叉式网络钓鱼攻击非常集中且经过充分研究,因此它们很有效。鱼叉式网络钓鱼尝试中使用个人信息来构建令人信服的方案。
鱼叉式网络钓鱼尝试利用你的情绪来达到目的。营销几乎总是具有紧迫感,敦促受害者“在为时已晚之前迅速采取行动”。
鱼叉式网络钓鱼电子邮件攻击的迹象是什么?
可以通过多种方式检测和避免鱼叉式网络钓鱼攻击。以下是鱼叉式网络钓鱼电子邮件的示例:
通常不会通过电子邮件请求下载文件或披露敏感信息。
发件人的电子邮件地址与发送者声称代表的公司域名不匹配。
电子邮件格式与通常从发送者声称的个人或公司收到的电子邮件不同。
电子邮件中的链接经过仔细检查后,会指向虚假网站,而不是电子邮件内容中指示的网站。
电子邮件中附有可疑文件或意外发票。
电子邮件内容出乎意料或与发件人的特征不符。
如何预防鱼叉式网络钓鱼?
有效的防御是最好的进攻。虽然您可能无法阻止每次网络攻击,但制定稳健的安全计划是一个良好的开端。
提供安全意识培训
员工的安全培训并非一劳永逸的事情。由于网络安全威胁的复杂性和快速发展,持续的员工安全意识培训至关重要。
考虑将网络安全知识纳入新员工入职程序和参考材料中。为所有员工(包括管理层)提供频繁的复习培训,以确保您的敏感数据和系统安全。
应使用多因素身份验证 (MFA)
使用多因素身份验证 (MFA) 可以大大减少鱼叉式网络钓鱼攻击。为了访问受保护的资源,用户必须提交两个或多个身份验证要素,从而降低鱼叉式网络钓鱼成功的可能性。
即使密码被泄露,如果没有额外的身份验证程序,它也是无用的。但是,正如下一节所述,在多个帐户中不重复使用相同的密码也同样重要。
应定期执行备份和安全补丁。
定期执行备份和应用安全修补程序的重要性怎么强调都不为过。如果没有任何数据备份可供恢复,则在发生泄露后无法恢复您的数据。修补程序管理使您的软件保持最新状态,使您能够在软件供应商提供时利用新的安全功能。
应严格执行密码管理策略
如果您的密码管理程序松懈(或不存在),您的业务就会面临风险。请考虑以下密码策略最佳实践:
应使用密码管理软件。
应禁止共享密码。
创建密码复杂性和长度要求。
使用密码生成器或要求使用唯一密码。
设置密码有效期。
下载并安装电子邮件安全软件。
最后但并非最不重要的一点是,防止鱼叉式网络钓鱼尝试的最佳希望是投资信誉良好的电子邮件安全程序。电子邮件安全软件通过检测电子邮件和其他云办公应用程序中的常见攻击信号并消除威胁(在它们造成损害之前)来保护您的“人工”层。
在可预见的未来,鱼叉式网络钓鱼在复杂性和数量上将继续发展。为了保护您的组织——以及您的员工——免受数据泄露、身份盗窃和公司间谍活动的侵害,请确保您现在正在使用反网络钓鱼方法。
159 次浏览
