鱼叉式网络钓鱼

什么是鱼叉式网络钓鱼？

鱼叉式网络钓鱼是一种具有针对性的网络钓鱼诈骗形式，网络犯罪分子以组织中的特定个人为目标，向其发送看似极为可信的邮件。与大范围的网络钓鱼活动不同，鱼叉式网络钓鱼攻击者伪装成受害者知道或信任的实体，诱骗受害者泄露敏感数据、转账或下载危险的恶意软件。

为操纵毫无戒心的受害者，黑客主要使用社交工程手段来利用人的本性，例如愿意乐于助人、在收到坏消息时慌乱无措或信任上级。遗憾的是，员工通常是企业中的巨大漏洞，人为错误是造成系统意外停机的第一大原因，因此需要定期开展反网络钓鱼培训。  

为什么鱼叉式网络钓鱼如此危险？

鱼叉式网络钓鱼这种有针对性的攻击对于组织极为危险，因为诈骗者一旦得手，便能够获取敏感企业数据、金融凭证甚至直接进行资金转账。组织不仅会立即遭受财产和数据损失，还会受到大规模欺诈，并遭到持续不断的入侵和损失。

老奸巨猾的鱼叉式网络钓鱼攻击者会利用此初始漏洞发起高级持续性威胁 (APT) 活动，长时间潜伏在网络中而不被发现，导致广泛持续性的损害。黑客长时间未经授权访问企业网络，随心所欲地利用网络资源，这通常会导致进一步的数据泄露、运营中断，最终对组织造成严重的财产损失和声誉影响。

网络钓鱼和鱼叉式网络钓鱼有什么区别？

网络钓鱼和鱼叉式网络钓鱼都是网络犯罪分子用来窃取敏感数据和个人信息的手段。主要区别是它们所采用的方法：网络钓鱼攻击通常向大量受众群发一般消息，而鱼叉式网络钓鱼以特定个人为目标，利用受害者的个人信息使骗局显得更加真实。

以下示例说明了网络钓鱼和鱼叉式网络钓鱼之间的区别。

网络钓鱼示例：网络犯罪分子群发了一封邮件，警告可能有安全漏洞，并要求立即更改密码。此邮件包含伪装成合法网站（如银行官网）的虚假网站链接。在几千个收件人中，攻击者希望会有少部分人相信这一紧急要求并输入他们的凭证。

鱼叉式网络钓鱼示例：在鱼叉式网络钓鱼场景中，攻击者以特定企业员工为目标。网络犯罪分子利用企业员工社交媒体上的信息，伪装成公司的媒体经理发送定制邮件，其中提及最近的工作活动，并要求员工点击所谓活动照片的链接。这种方法针对个人而设计，使恶意链接显得更加真实，让企业员工更有可能在无意间部署恶意软件或交出登录凭证。

为什么鱼叉式网络钓鱼特别容易成功？

网络钓鱼最初采用很明显的诈骗手段（例如臭名昭著的“尼日利亚王子”邮件），逐渐演变为现在利用社交媒体和生成式 AI 的复杂化鱼叉式网络钓鱼攻击。利用这些技术，诈骗者的骗术更具可信性，操纵毫无戒心的受害者遵从他们看似无害的要求。

促使鱼叉式网络钓鱼取得成功的几个常见因素如下：

• 看似真实的品牌邮件：老奸巨猾的攻击者将邮件精心伪造成知名品牌（如 Apple、Microsoft）或用户的银行机构，使邮件看起来很真实。
• 工作场所信任：一些邮件看似来自于公司中的可靠人物，如经理或人力资源代表，这会让人误以为安全可靠、可以信任。
• 恐惧、紧迫和威胁：诈骗者通常采用恐吓手段，声称掌握了不利于受害者的信息或称受害者即将大祸临头。这种紧迫感会迫使目标受害者不加思索地迅速落入陷阱。
• 员工培训不足：如果没有持续培训，员工可能不会意识到或报告鱼叉式网络钓鱼企图，因此容易上当。
• 邮件安全性薄弱：在缺乏专业工具的情况下，原生安全控制系统无法发现高级鱼叉式网络钓鱼企图，导致企业毫无防备。
• 生成式 AI 技术：现代诈骗者利用 ChatGPT 等 AI 工具来伪造看似真实的邮件，从中模仿人类沟通方式，因此他们的网络钓鱼骗术更难被检测到。

鱼叉式网络钓鱼的运作方式

鱼叉式网络钓鱼的运作方式是，以特定个人为目标或使用针对性的欺骗消息来窃取机密信息、获取未经授权的访问权限或部署恶意软件。

鱼叉式网络钓鱼流程通常如下：

1. 调查并确定目标：鱼叉式网络钓鱼攻击者先确定一个目标，这通常是在网络上具有公开信息的个人。攻击者会全面调查此人在网络上的信息，收集有关此人职位、同事、近期活动或个人爱好的信息。
2. 制作攻击媒介：利用收集的信息，攻击者制作看似极为真实的消息或邮件。此邮件通常伪装成来自可信实体或同事，使其看似合法。
3. 部署：诈骗者向目标发送欺骗邮件。此邮件可能包含：

• 在受害者设备上安装恶意软件的链接
• 使系统感染勒索软件的附件
• 用于获取机密信息的看似合法的请求
• 诱骗受害者输入其凭证的虚假网站链接

1. 行动：当目标对邮件采取操作（如点击链接、提供请求的信息）后，攻击者就能实现他们的主要目标，包括窃取关键数据、获取未经授权的访问权限或者安装恶意软件或勒索软件。
2. 攻击：通过获取的访问权限或数据，网络犯罪分子随后会窃取机密信息、实施金融欺诈，甚至在组织网络中横向移动，大肆造成破坏。

鱼叉式网络钓鱼诈骗者如何选择目标

诈骗者通常根据三个主要条件来选择特定个人作为目标：此人可能有权访问哪些信息；诈骗者能够收集有关此人的哪些信息；以及此人是否容易上当。

根据这些条件，以下三种类型的员工是鱼叉式网络钓鱼的常见目标：

• 掌握重要数据的员工：鱼叉式网络钓鱼的目标不一定是企业高管或决策者，但他们通常有权访问重要信息。 应付账款、薪资管理和人力资源等部门的员工不仅能访问重要数据，还常常收到大量邮件，因此网络钓鱼邮件很容易混迹其中。
• 经验不足的员工：诈骗者通常以低级别或新入职员工为目标，因为此类员工不熟悉公司规范或网络安全最佳实践。 他们可能会伪装成企业领导或宣称事态紧急，利用新员工遵从企业领导的天性来行骗。
• 常受攻击的人 (VAP)：与普遍认知不同，那些大人物不一定是鱼叉式网络钓鱼攻击的目标。VAP 之所以更易受到攻击，是因为网络上有他们的大量个人信息或他们会收到大量邮件，这使欺骗性邮件很难被识别。他们不一定声名显赫，但他们在财务、人力资源或管理部门掌握大量数据，再加上前述漏洞，因此他们是诈骗者的常见目标。

鱼叉式网络钓鱼攻击的常见示例

首席执行官欺诈诈骗

您会拒绝首席执行官的紧急要求吗？网络犯罪分子在实施首席执行官欺诈（也称为商业邮件诈骗 [BEC]）时，正是利用了这一点。在此类攻击中，诈骗者利用企业员工对上级的尊重，伪装成高管，欺骗财务或会计员工购买礼品卡或转账到欺诈账户。

恶意附件和勒索软件攻击

务必谨慎处理包含附件或链接的邮件，点击附件或链接可能会下载恶意软件或勒索软件。要验证链接是否安全，可将鼠标悬停在链接上以查看完整 URL。请记住，即使是您信任的员工也可能会在无意之间发送有害链接。为确保组织安全，一定要审查任何链接或附件的来源，并仔细检查其合法性。

克隆式网络钓鱼攻击

克隆式网络钓鱼攻击是指攻击者复制合法邮件，但从中进行危险改动。他们声称这些邮件是真正邮件的更新版本，偷偷地将原有链接或附件更换为恶意链接或附件。

品牌伪装攻击

攻击者常常模仿知名品牌和运营商的沟通风格与形象。然而，这些欺骗性的邮件中包含关键改动：真正的链接被更换为欺诈链接，而欺诈链接指向用来窃取用户凭证的伪装登录页面。

鱼叉式网络钓鱼攻击中常见的伪装品牌包括快递服务、数字签名服务、视频会议工具、银行机构和直播平台。

如何识别鱼叉式网络钓鱼邮件

使用以下方法可快速识别鱼叉式网络钓鱼攻击：

识别发件人

常见的鱼叉式网络钓鱼手段包括使用与知名企业或组织极为相似的欺骗性域名，但其中包含不易察觉的微小不同。例如，域名中的“l”（小写 L）和“1”（数字 1）等字符可能会相互调换，域名会变为“goog1e”或”paypa1”等。

这种招数很明显，但许多有警惕性的用户也会上当受骗，尤其是当他们经常收到这些公司的真正邮件时。

仔细阅读主题行

鱼叉式网络钓鱼邮件中的主题行常常会营造紧迫感或恐惧感，使用“紧急”、“需要立即行动”或“逾期付款”等词语，迫使收件人仓促行动。

这些邮件还可能营造熟悉感，使用“回复：”、“待处理请求”或“重要跟进”等短语，暗示先前存在对话或关系。这种狡猾的方法是长期鱼叉式网络钓鱼诈骗的惯用手段，欺诈者通过这种方法来与受害者培养看似真实的联系。他们慢慢操纵目标受害者按要求行事，这可能造成灾难性的后果，可能导致整个组织沦为诈骗者的目标。

检查链接或附件

鱼叉式网络钓鱼邮件通常包含 .zip 文件、.exe 文件、PDF、Excel 和 Word 文档格式的恶意附件。链接可能与附件一样有害，请谨慎对待要求填写敏感数据的表单，因为它可能不像表面上那么安全。Google Forms 和其他知名在线服务也常被用于收集机密信息，因为这些服务可以绕过标准邮件安全过滤器。

评估内容

收到的邮件包含个人信息并不能保证来源可信。您的个人信息通常能够在网上找到。网络犯罪分子从公共记录或社交媒体平台中收集这些数据并不困难，包括您的住址、家人姓名、电话号码甚至宠物的名字。

确认请求

相信您的直觉。如果一封邮件尽管看似合法，但仍让您觉得可疑，请采取主动措施。不要回复可疑邮件，而应使用先前保存的联系人记录发送一封新邮件，确认可疑邮件的真实性。谨慎起见，可以使用经验证的电话号码直接给发件人打电话或发短信，以验证任何可疑请求。

如果点击了鱼叉式网络钓鱼链接怎么办？

您是否曾意外点击了网络钓鱼链接？谁都会犯错，但您的应对措施至关重要。减轻潜在损害的方法如下：

• 保持冷静。保持头脑清晰有助于您更好地处理当前情况。
• 不要输入数据。如果出现提示，切勿输入任何信息。
• 删除并断开连接。删除恶意邮件并断开互联网连接，避免进一步泄露数据或造成恶意软件传播。
• 更改密码。假定您的凭证已被盗，并立即更改密码，最好换一台设备进行操作。
• 提醒 IT。立即告知 IT 部门。他们能够减轻攻击的危险性并通知相关机构。
• 运行安全检查。组织的安全团队应使用高级恶意软件防护工具运行完整的系统检查，以检测各种威胁并实施补救。

如何防范鱼叉式网络钓鱼

虽然没有方法能保证完全免于网络威胁，但您可以通过一些措施来减轻鱼叉式网络钓鱼的风险，包括集成高级安全工具、采用最佳实践，以及培养员工的安全意识和警惕性。

采用多重身份验证 (MFA)

在整个环境中实施多重身份验证 (MFA) 可大大降低鱼叉式网络钓鱼攻击的影响。在向用户授予访问权限之前，MFA 会要求提供两种或两种以上来源的验证信息，从而降低鱼叉式网络钓鱼得逞的概率，妥善保护您的应用。即使在鱼叉式网络钓鱼攻击中泄露了密码，如果没有通过其他身份验证步骤，攻击者也无法使用密码。

实施严格的密码管理策略

近 50% 的数据泄露都涉及凭证被盗。通过实施严格的密码策略并通过培训让员工掌握最佳实践，组织可以大大降低未经授权访问和安全漏洞的风险。

下面提供了一些可实现强密码安全的最佳实践：

• 创建复杂的长密码，长度至少包含 10 个字符
• 设置 MFA，要求在用户登录时验证用户身份
• 要求使用安全质询问题，询问用户已知的正确回答
• 将密码存储在安全密码管理解决方案中
• 使用生物识别密码，如指纹、人脸或语音识别
• 经常更改密码

定期进行备份并安装安全补丁

经常进行备份并安装安全补丁，这对于加强防范鱼叉式网络钓鱼攻击非常重要。定期备份就像安全网，确保在数据泄露时可以恢复数据并尽可能减少潜在损失。

积极管理补丁也同样重要。这些补丁更新能够补救漏洞，从而加强软件防御，防止攻击者通过鱼叉式网络钓鱼骗术利用漏洞。

安装高级邮件安全软件

随着鱼叉式网络钓鱼手段变得越来越高明和普遍，务必要采取主动防网络钓鱼措施，保护组织及其员工免受数据泄露、身份窃取和企业间谍活动的影响。一项最有效的防范措施是投资采用值得信赖的邮件安全解决方案。

Cisco Secure Email Threat Defense 等高级邮件安全解决方案提供强大的网络钓鱼防护，采用高级算法细致检查身份、行为和语言中的数千个信号。此系统不仅检测邮件传送的典型攻击指标，还可在威胁造成损害之前将其化解，加强组织重要通信的安全。

采用高级恶意软件防护 (AMP)

没有哪种安全解决方案能够防范所有鱼叉式网络钓鱼攻击，因此设立分层防御至关重要。高级恶意软件防护软件能够防范和检测软件病毒，并彻底删除在网络钓鱼攻击得逞时安装的软件病毒，如勒索软件、蠕虫、间谍软件、广告软件或特洛伊木马。

通过采用 AMP，组织能够大大降低潜在漏洞的影响，确保即使攻击穿透初始防线，也能有效控制并最大限度降低其影响。

注重安全意识培训

用知识“武装”员工，这需要坚持不懈才能见效。安全意识的建立不能一蹴而就。鉴于鱼叉式网络钓鱼攻击及其他危险威胁不断演变的本质，持续的员工培训至关重要。将防网络钓鱼培训融入新员工的入职培训流程，同时对现有员工定期开展相应培训并更新培训内容。持续培训可帮助员工预先了解鱼叉式网络钓鱼企图，保护组织的敏感数据和系统。