什么是网络钓鱼?攻击类型和防范小贴士

网络钓鱼是一种网络攻击,目的是说服潜在的受害者泄露敏感信息,例如密码或信用卡号。网络犯罪分子通过冒充他人身份并表现出情况很紧急来实施这种行为。

网络钓鱼的工作原理是什么?

网络钓鱼是一种危险而有效的黑客攻击方法。网络钓鱼的实施是由网络犯罪分子向个人或公司发送包含恶意链接或附件的消息。其目标是诱使受害者点击链接,从而下载恶意软件或将他们引导至非法网站以窃取他们的个人信息。网络钓鱼攻击可以通过多种方式进行,具体取决于攻击者及其试图获取的信息。

多年来,网络钓鱼已经变得更加复杂。据估计,所有泄露事件中约有 32% 涉及网络钓鱼,约有 64% 的组织曾经至少报告过一次遭遇到网络钓鱼企图。

网络钓鱼的挑战在于,随着方法变得越来越复杂,尤其是引入 AI 后,它可能很难被发现。您可能打开过一次网络钓鱼电子邮件而没有意识到,因为网络犯罪分子依靠社会工程来说服毫无戒心的受害者打开可疑附件

网络钓鱼的工作原理是什么?
常用的网络钓鱼技术

常用的网络钓鱼技术

社会工程

社会工程是一种利用欺骗性信息操纵受害者迅速采取行动的攻击。一个例子是利用受害者担心税务局对自己提起诉讼。这种类型的网络钓鱼诈骗在报税季最为常见。网络钓鱼消息中会包含紧急处理要求,例如“立即处理,否则将被税务局罚款”,这将导致受害者向网络犯罪分子提供敏感信息。

其他更复杂的例子包括来自同事或上司的非法消息,或者包含已确认接收人信息的消息。这些示例可能导致许多类型的信息被泄露。

链接模仿

链接模仿通常会与社会工程结合使用。以税务局骗局为例,受害者被诱导相信自己欠税务局的钱,并点击所提供的链接。乍一看,这个链接似乎合法,甚至可能包含看似正确的税务局网站 URL。然而,一旦点击,用户就会被重定向至一个非法的网站,并被要求提供自己的信息。当受害者输入信息时,网络犯罪分子就会知道是什么,然后他们可以将其用于自己的恶意目的。

点击网络钓鱼链接后会发生什么情况?

网络钓鱼链接可以将受害者重定向至非法的网站、下载恶意附件或者在设备或网络上安装恶意软件

网络钓鱼攻击可能会通过劫持或窃取信息来破坏组织的整个网络。攻击可能会迫使组织无限期关闭其在线服务,造成收入的重大损失,并进一步遭到恶意软件的侵害。此外,在发生泄露事件后,企业可能会面临监管处罚,并对企业声誉造成影响。

网络钓鱼攻击对普通人也很危险,会造成经济损失或导致身份被盗

电子邮件网络钓鱼攻击

电子邮件网络钓鱼攻击是最常见、最多样的网络钓鱼攻击之一,而且往往也是最有效的方法之一。电子邮件网络钓鱼攻击通常依赖于社会工程来诱导用户点击恶意链接或下载恶意软件。

电子邮件网络钓鱼类型

鱼叉式网络钓鱼

鱼叉式网络钓鱼攻击是利用个人信息进行有针对性的网络钓鱼攻击,以造成最大损失。攻击者已经知道受害者的电话号码、地址、全名甚至可能还有他们的社会保障号码等信息,然后利用这些信息来让钓鱼附件或链接感觉起来更合法。

鲸鱼网络钓鱼

捕鲸攻击类似于鱼叉式网络钓鱼,但目标是“鲸鱼”,或者是知名度高的目标,而不是普通人或小企业网络。其目标是访问高级数据、内部系统或机密信息。

克隆网络钓鱼

在克隆网络钓鱼攻击中,网络犯罪分子克隆合法电子邮件并加入恶意软件或恶意链接后再重新发送,试图欺骗收件人点击它们。

电子邮件网络钓鱼攻击
其他类型的网络钓鱼攻击

其他类型的网络钓鱼攻击

短信钓鱼

短信钓鱼与电子邮件网络钓鱼基本相同,只是它是通过短信进行。受害者在短信中收到与网络钓鱼电子邮件类似的消息,其中包含要点击的链接或要下载的附件。

电话钓鱼

电话钓鱼是一种更复杂、有时更有效的网络钓鱼方法,因为在电话的另一端有一个真实的人在说话。攻击者的目标是获取信息(通常是信用卡信息)以取得经济利益。老年人更容易受到这种类型的攻击诱导。

社交或灯笼式钓鱼

灯笼式钓鱼涉及攻击者伪装成合法客户服务代表,并说服受害者交出个人信息。

恶意广告

恶意广告是指网络犯罪分子向合法广告商支付费用,以在其网站或社交媒体页面上展示广告。当用户点击恶意广告时,他们会被引导至恶意网站,从而将恶意软件下载到他们的设备上。

如何保护自己免受网络钓鱼攻击

使用密码管理程序

密码管理程序可以帮助您创建、管理和安全地存储密码,从而保护您免受网络钓鱼攻击。Keeper Password Manager 之类的密码管理程序内置了提供网络钓鱼网站警告的功能。如果您保存的登录信息并未在您访问的网站上显示,则您可能访问了错误的网站。此外,集成的密码生成器功能可帮助您创建高强度的随机密码,以替换泄露的密码,并限制撞库的可能性。

不要点击来路不明的链接或附件

如果您通过电子邮件、短信或其他消息平台收到来路不明的链接和附件,不要点击它们。这些链接和附件可能包含能够窃取您的敏感信息或者可用于监视您的恶意软件。

如果您不确定链接是否安全,可将鼠标悬停在链接上方以查看完整的网站地址,或者使用 Google 透明度报告之类的工具。

使用电子邮件扫描器

电子邮件扫描器是一种可扫描电子邮件附件中是否存在潜在恶意软件的工具。投资电子邮件扫描器将有助于保护您免受电子邮件网络钓鱼企图的侵扰。

如何保护自己免受网络钓鱼攻击
如何保护您的企业免受网络钓鱼攻击

如何保护您的企业免受网络钓鱼攻击

员工教育

教育员工了解网络钓鱼的危害、网络钓鱼的各种类型以及如何防范攻击。您也可以随机运行网络钓鱼测试,让您的团队保持警惕。

使用企业密码管理程序

为您的企业使用密码管理解决方案,确保您的企业密码安全存储,并且仅提供给合适的人员。例如,Keeper Security 提供特定于角色的访问功能和共享文件夹,以限制谁可以查看某些凭据和记录。我们强大的企业功能还包括密码审核和报告,为团队密码健康状况提供有用的更新,并简化密码策略的强制执行。

使用防病毒软件

防病毒软件可检测、隔离并删除已下载至员工设备的恶意软件。它还可以扫描设备上的电子邮件、特定文件或路径以发现恶意软件和其他病毒。网上有很多免费和企业级的防病毒程序。

Keeper 可保护您、您的家人和您的企业免受网络钓鱼攻击。

中文 (CN) 致电我们