日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
網(wǎng)絡釣魚大講堂Part1|網(wǎng)絡釣魚攻擊定義及歷史

何為網(wǎng)絡釣魚攻擊?

首先,我們看一下網(wǎng)絡釣魚攻擊的定義:網(wǎng)絡釣魚攻擊(phishing與fishing發(fā)音相近)是最初通過發(fā)送消息或郵件,意圖引誘計算機用戶提供個人敏感信息如密碼、生日、信用卡卡號以及社保賬號的一種攻擊方式。為實施此類網(wǎng)絡詐騙,攻擊者將自己偽裝成某個網(wǎng)站的官方代表或與用戶可能有業(yè)務往來的機構(如PayPal、亞馬遜、聯(lián)合包裹服務公司(UPS)和美國銀行等)的代表。

攻擊者發(fā)送的通信內容的標題可能包含“iPad贈品”、“欺詐告警”或其他誘惑性內容。郵件可能包含公司的標志、電話號碼及其他看似完全合法的內容。攻擊者的另一慣用伎倆是使郵件看起來像是來自您的親朋好友,讓您以為他們要與你分享一些東西。

然而,當您點擊了郵件中的鏈接,會被帶到虛擬網(wǎng)站而非真實網(wǎng)站,讓您在毫無戒備的情況下按照提示輸入個人信息。攻擊者會獲取這些輸入信息,然后立即使用或在黑市上買賣用于惡意目的,或既自用又出售。很多時候,用戶計算機也會受到感染,然后將釣魚郵件發(fā)送給通訊錄上的聯(lián)系人,助其肆意傳播(惡意代碼會控制受感染計算機的web瀏覽器,該攻擊手段稱為域欺騙。)

在傳統(tǒng)釣魚攻擊中,這些詐騙者會發(fā)送數(shù)百萬“魚鉤”,只需較少用戶點擊鏈接“上鉤”。根據(jù)加拿大政府的統(tǒng)計,每日全球發(fā)送1.56億封釣魚郵件,而最終有8萬用戶點擊郵件中的鏈接, 導致重大損失。Ponemon機構估計,通常擁有10000名員工的公司每年應對網(wǎng)絡釣魚攻擊的花費就高達370萬美元,而這種趨勢沒有減弱跡象,而是愈演愈烈。

網(wǎng)絡釣魚攻擊歷史

網(wǎng)絡釣魚攻擊術語和概念最早由美國在線(AOL)于20世紀90年代初提出。一些黑客和盜版人員聯(lián)合起來,自稱warez社區(qū)。他們被視為首批“網(wǎng)釣者”。早期詐騙中,他們利用所開發(fā)的算法隨機生成信用卡號,從而試圖創(chuàng)建虛假的AOL賬戶。若他們所創(chuàng)建的隨機信用卡號與用戶的真實卡號匹配,他們就會創(chuàng)建賬戶,向AOL社區(qū)中的其他用戶發(fā)網(wǎng)絡釣魚送垃圾郵件,僅需數(shù)個用戶上鉤。

1995年,AOL成功阻止了隨機信用卡號生成器,但warez社區(qū)轉而使用其他方法,喬裝成AOL的員工,通過AOL Messenger通訊軟件向其他員工發(fā)送消息,以獲取他們的信息。這樣,網(wǎng)絡釣魚攻擊很快就成了一大問題。1996年1月2日“網(wǎng)絡釣魚”第一次在AOL的新聞組的群中被提及(AOL最后在其所有郵件和通訊軟件中發(fā)布警告,提醒用戶提防潛在的網(wǎng)絡釣魚)。

利用郵件

隨著人們逐漸熟悉通訊軟件欺騙,“網(wǎng)釣者”開始使用郵件通信,因為郵件容易創(chuàng)建、發(fā)送成本低且?guī)缀醪灰妆蛔R破。

最初大多數(shù)釣魚消息組織得很差,滿篇都是語法錯誤,但釣魚者很快進行了改進,編寫了更復雜的消息。2003年9月,釣魚者開始注冊與老牌公司類似的域名,例如yahoo-billing.com和ebay-fulfillment.com。他們發(fā)送看似更合法的新郵件,誘惑收件人打開使用這些域名的網(wǎng)站,讓其信以為真。

2003年10月,Paypal用戶感染了Mimail病毒。這些用戶單擊了釣魚郵件中包含的鏈接,然后系統(tǒng)彈出了一個聲稱來自Paypal的窗口,讓用戶輸入用戶名和密碼。輸入后,這些用戶名和密碼立即被發(fā)送至黑客。

2004年,支持總統(tǒng)候選人John Kerry的選民收到了一個看似來自官方的郵件,鼓動他們單擊郵件中的鏈接進行捐款。最終,該郵件被證實為是印第安州和德克薩斯州操縱的欺騙郵件,與John Kerry的競選活動無關。

現(xiàn)今,網(wǎng)絡釣魚攻擊方法種類繁多。同時,詐騙者仍在持續(xù)推出新花招,贏得信任、規(guī)避檢測,并造成嚴重破壞。其中一個令人不安的趨勢是通過利用從社交媒體收集的信息,讓通信內容盡量貼近攻擊目標,此類攻擊一般被稱為“魚叉式網(wǎng)絡釣魚”或“社交工程欺騙”。

有時,這種欺騙手段是一個漫長且緩慢的過程,可能會誘惑受害人在Facebook上聊天,最終向其索要錢財或密碼。有時,他們會利用從公共渠道獲取的受害人信息使詐騙看上去更具說服力。

“我們可將現(xiàn)在我們公開發(fā)布的信息與15年前進行對比。過去,如果不是去家門口拜訪,我們很難獲得人們的信息?!?,反釣魚工作組(APWG)的Peter Cassady說, “而現(xiàn)在人們在網(wǎng)上發(fā)布了太多信息,惡意攻擊者可開發(fā)半定制方案,利用這些信息,構建看似非常真實的消息?!?/p>

SecurityIQ網(wǎng)絡釣魚模擬器

另一種魚叉式攻擊更加危險:黑客盯上某個行業(yè)的一家公司,竊取該公司的數(shù)據(jù)或損害其系統(tǒng)。然后,他們針對該公司的幾個員工發(fā)起攻擊,希望利用更具個性化的通信被證明是奏效的。賽門鐵克是一家技術公司,稱能源部門越來越受攻擊者青睞。盡管目前尚未發(fā)生大規(guī)模入侵,他們警告說此類魚叉式攻擊的威脅日益上升,可能會帶來災難性影響。

網(wǎng)絡釣魚實例

我們在前面談到,網(wǎng)絡釣魚攻擊形形色色,花招繁多,但萬變不離其宗, 即他們想騙取你的個人信息。

當然,此類攻擊所利用一個主要工具仍是易用的傳統(tǒng)郵件,通常這些郵件會發(fā)送給大公司工作繁忙或壓力大的員工,因為他們會不假思索地點擊郵件中的鏈接。盡管很多大公司已部署了防御措施(如惡意軟件檢測器或垃圾郵件過濾器),但黑客已發(fā)現(xiàn)新的入侵方法,在一次攻擊事件中居然利用了空調。

確切地說,攻擊者2014年入侵了零售巨頭Target的網(wǎng)絡,造成1.1億條信用卡信息泄露。此次攻擊的原因是攻擊者對為Target在賓夕法尼亞州的零售店提供空調服務的法齊奧機械服務公司進行了釣魚詐騙,因為該公司具備Target供應商數(shù)據(jù)庫的訪問權限。法齊奧員工點擊了一個惡意鏈接,在毫不知情的情況下導致計算機被入侵,憑證被竊取,使攻擊者獲取了Target的訪問權限。數(shù)月之后,攻擊者入侵了Target網(wǎng)絡。

最終,Target還是盡其所能挽回了損失,而其他受害者就不一定這么走運了。根據(jù)NBC新聞2012年的報道,一位未透露姓名的英國女士稱,她收到了一個看似來自銀行的釣魚郵件,點擊了鏈接,按照提示輸入了個人信息。三天后,她賬戶上的160萬美元不翼而飛,這可是她一生的積蓄。

網(wǎng)絡釣魚攻擊的其他類型

另一種非常流行的網(wǎng)絡釣魚攻擊方法稱為搜索引擎釣魚,即詐騙者創(chuàng)建包含某些關鍵詞的網(wǎng)頁,這樣,用戶搜索這些關鍵詞時會檢索出這些惡意頁面, 然后會在Google中毫無戒心地單擊這些惡意鏈接,不會將其視為網(wǎng)絡釣魚詐騙,等意識到自己中招時為時已晚。

《電腦世界》報道了一次搜索引擎釣魚攻擊利用與誘人的信用卡利息和高息儲蓄賬戶相關的關鍵詞。在這些好處的驅使下,搜索者訪問了看上去非常專業(yè)的網(wǎng)站,很自信地輸入了登陸信息。在此過程中,攻擊者要求他們關聯(lián)自己的銀行賬戶,然后立即順走了賬戶中的錢。

中間人攻擊(MITM)卻更加巧妙復雜,根本無需虛假網(wǎng)站。實際上,黑客通過利用惡意鏈接充當合法網(wǎng)站和用戶之間的“中間人”角色,秘密收集通過其代理的通信數(shù)據(jù)。這種攻擊最早由《華盛頓郵報》于2006年報道,稱花旗銀行的企業(yè)客戶中招此類攻擊。由于中間人攻擊非常隱蔽,幾乎無法被發(fā)現(xiàn),直到現(xiàn)在該類攻擊仍是各企業(yè)面臨的難題。

語音釣魚和短信釣魚

“語音釣魚”和“短信釣魚”是兩種重要的移動釣魚攻擊方法。語音釣魚指通過語音進行網(wǎng)絡釣魚攻擊,具體指攻擊者通過呼叫受害人進行釣魚攻擊。同時,在社交媒體風行的當下,人們公開發(fā)布了大量信息。這樣,攻擊者就趁機獲取很多用戶信息,使自己的偽裝更加可信。

BBC曾報道過語音釣魚攻擊,稱一位名為Emma Watson的女士遭遇了語音釣魚攻擊,她接到電話后誤以為是銀行打來的。在此次攻擊中,攻擊者撥通了她家里的固定電話,準確地說出她的姓名,聲稱來自反欺詐部門,想幫她將銀行存款轉移到更安全的賬戶。

她告訴BBC說,“他們非常專業(yè),說的頭頭是道?!?/p>

這些語音攻擊者可篡改來電號碼,使其看起來像是從另外一個號碼發(fā)起的呼叫,這樣就又為欺騙蒙上了一層面紗。現(xiàn)在,快速發(fā)展的人工智能軟件完全可模仿人類呼叫者,可想而知,以后的詐騙伎倆無疑讓人心生恐懼。

最后,我們看一下短信釣魚(SMS釣魚)攻擊,即通過向智能手機發(fā)送短信發(fā)動攻擊。McAfee表示,在早期短信攻擊中,攻擊者向受害者發(fā)送確認消息,讓用戶打開鏈接“取消”未訂購的電話業(yè)務或其他服務。在毫無戒心的用戶單擊鏈接后,其手機就變成大型釣魚詐騙網(wǎng)絡的成員。

網(wǎng)絡釣魚攻擊、魚叉式釣魚攻擊、域欺騙、語音釣魚、短信釣魚和社交工程欺詐僅僅是黑客用于獲取用戶信息所使用的幾個最新手段。為防止中招,點擊鏈接前請三思而后行。


網(wǎng)頁標題:網(wǎng)絡釣魚大講堂Part1|網(wǎng)絡釣魚攻擊定義及歷史
本文來源:http://www.dlmjj.cn/article/dpjoijs.html