什么是网络钓鱼?
网络钓鱼被定义为一种网络安全攻击,在这种攻击中,恶意实体通过电话与受害者联系,并试图通过社会工程学方法获得受害者的信任,从而获取机密数据、套取资金或以其他方式伤害个人。
这本质上是一种通过语音媒体进行的网络钓鱼攻击,因此被称为网络钓鱼攻击。
网络钓鱼攻击机制
网络钓鱼通常以紧急或骚扰电话的形式出现。例如,来电者可能声称受害者的账户被黑客入侵,需要一个密码来验证身份或重开账户。
他们还可能声称是代表政府机构打来的电话,如国内税收署(IRS)或社会保障局(Social Security Administration)。他们甚至可能坚称受害人欠钱或赢得了比赛。
这些都是 "网络钓鱼"(如前所述,"语音 "和 "网络钓鱼 "混合在一起表示电话诈骗)的案例。网络钓鱼 "是一个术语,用于描述网络犯罪分子诱骗人们交出金钱、个人数据或秘密信息的任何行为。同样,电子邮件和短信息或短信系统("网络钓鱼")也可用于实施欺诈。
网络钓鱼是一种网络犯罪,犯罪分子利用受害者的手机窃取信息,这些信息会对受害者造成伤害,或以某种方式使犯罪分子获益。
网络骗子利用复杂的社交工程技术说服受害者提供个人数据,甚至获取银行账户或商业机密。与 "网络钓鱼 "和 "网络仿冒 "一样,"网络钓鱼 "的重点是说服受害者同意来电者的要求。来电者通常冒充政府当局、税务机构、受害者的金融机构或警方。
这种战术的成功取决于有效的社会工程学,即利用人的心理来制造令人信服的效果。网络钓鱼犯罪者会使用威胁或正面劝说的方式,让受害者觉得他们必须提供所要求的信息。受害者还可能收到威胁性语音信息,告诉他们如果不正确回电,就有可能被起诉或银行账户被冻结。
网络钓鱼是如何运作的?
网络钓鱼攻击者通常使用来电显示欺骗技术,诱骗受害者相信电话来自可信的企业或当地社区代码。
他们通常扮演可信实体的角色,诱骗受害者共享他们的数据。例如,他们可能会冒充银行或信用卡机构高管、债权人或国税局工作人员。这些骗子会在预定受害人接听电话时制造一种紧迫感,利用受害人的感情,迫使他们对要求做出回应。
网络钓鱼有多种形式,但目标始终如一:诱骗受害者泄露个人信息,以获取金钱利益或实施其他犯罪,如身份盗窃。
这些攻击具有说服力的原因之一是,欺诈者可以利用从其他来源获得的个人信息,使网络钓鱼企图看起来合法。
最常见的网络钓鱼类型
1. 警告
2.基于网络电话的攻击
3.来电显示欺骗
4.集装箱清扫
1. 警告
Wardialing 使用各种类型的技术自动连续拨打大量电话号码,通常是为了发现安全和 IT 基础设施中的漏洞。
黑客经常使用拨号工具来查找不安全的调制解调器,这些工具有时被称为 "拨号器 "或 "恶魔拨号器"。只需很短的时间
如果骗子找到了连接到调制解调器的号码列表,就会这样做。
2.基于网络电话的攻击
通过互联网连接传输语音和多媒体内容被称为网络电话(VoIP)。用户可以通过电脑、智能手机、其他数字平台(如网络电话和支持网络实时通信(WebRTC)的网站)使用网络电话拨打语音电话。
网络电话对个人和企业来说都是一项有益的技术,因为它通常包含传统电话系统所不具备的额外功能。它也是企业统一通信的一种有用手段。
不幸的是,网络电话可能会被骗子利用来发起网络钓鱼攻击。攻击者注册一个域名,并创建类似于组织网络登录页面的网络钓鱼页面。因此,威胁行为者发起的网络电话似乎来自同一网络。此外,由于网络电话通常需要多因素身份验证,来电者可能会要求受害者访问欺诈页面并分享他们的详细信息。
3.来电显示欺骗
欺骗是指来电者故意伪造发送到来电屏幕上的信息,以掩盖自己的身份。欺诈者通常使用 "欺骗邻居 "技术,使来电显示显示来自本地号码,或冒充受害者已经信任的公司或政府机构。
如果此类电话被接听,攻击者就会试图窃取资金或关键数据,用于欺诈活动。诈骗脚本是来电显示欺骗攻击的重要组成部分,因为它们会进一步强化来电者是合法的这一信念。
4.集装箱清扫
翻找银行、公司大楼和其他机构的垃圾桶(包括实体和数字垃圾桶)是收集网络钓鱼受害者联系信息的一种简单而流行的手段。
犯罪分子可以从粉碎的文件、废弃的存储设备、旧日历、复印件等中收集足够的信息,从而实施以主题为重点的鱼叉式网络钓鱼攻击。
防范网络钓鱼攻击:2022 年的八项最佳做法
一旦遭受网络钓鱼攻击,就很难扭转其影响并挽回损失。即使执法部门查明了罪魁祸首,追回损失也是一项挑战。这就是为什么采取积极主动的措施,通过遵循这些最佳实践来预防网络钓鱼攻击至关重要的原因:
预防网络钓鱼的良好做法
1.拥有 VPN 连接
虚拟专用网络(VPN)可保护在互联网上共享的信息,使欺诈者更难掌握你的联系方式。
VPN 会对网络流量进行加密,并通过安全隧道发送,然后到达 VPN 服务器,该服务器会掩盖其 IP 地址。因此,威胁行动者不会知道你的位置,从而难以实施社交工程攻击。目标受害者只需询问来电者的位置,就能检查来电是否合法。
2.留意 "紧急 "电话。
当来电者制造出一种紧迫感时,你应将其视为红旗。例如,祝愿者可能会试图说服受害者,如果他们不立即交出银行信息或支付未付账单,就可能会有不良后果。
您可以挂断电话或询问来电者的详细联系方式,并告诉他们您稍后会再打过来。如果是骗局,来电者通常会施加更大的压力或挂断电话。
3.使用自动拦截工具
拦截 Robocall 的工具俗称 "呼叫过滤器",是一种检测自动呼叫的计算机程序。如果第三方实体采用了监听技术,自动电话拦截器会立即识别并拦截。
4.实施内部流程
当公司的普通号码响起时,谁会接起电话? 它会不会很容易落入错误员工的手中?
将电话从一个用户传给另一个用户可能会造成混乱,使组织内的员工分不清谁在电话的另一端。
在必要时,聘请一名专门的接待员来过滤掉不好的和好的电话是非常有用的,并能确保所有员工在转接给其他人时都会检查来电者是谁。
另一种方法是创建一个程序,让收件人在递交电话之前通过另一个官方渠道直接与 "请求者 "确认。
5.确保所有设备都有多因素身份验证。
使用安全性高的密码固然很好,但多因素身份验证提供了额外的安全层级,确保您的账户不会因单一密码而遭到泄露。
谷歌宣布,到 2021 年,将有 1.5 亿用户必须使用多因素身份验证,以提供更强的安全防护,从而减少 50% 被泄露的账户数量。
结论
网络钓鱼可能不是贵公司关注的主要问题,但它应该是。无论您的公司和同事有多么聪明能干,社交工程战术的威力都足以让任何人猝不及防。
既然您已经了解了网络钓鱼,那么与员工分享这些信息就显得尤为重要。
让他们知道,询问来电者并通过官方渠道与某人核实信息,可能是数据安全与网络事件或数据泄露风险之间的区别。
