道德黑客中的钓鱼攻击

网络钓鱼是一种网络攻击方式。这是一种不道德的手段，其目的是诱使用户或受害者点击那些看似真实的恶意网站。攻击者会精心构造这些恶意网站，让受害者误以为它们是真实可靠的网站，从而上当受骗。最常见的网络钓鱼手段就是发送看似真实的垃圾邮件，以此获取受害者的所有身份信息。网络钓鱼行为的主要目的就是获取用户的机密信息。

什么是网络钓鱼攻击？

网络钓鱼攻击这是一种社会工程攻击手段，其目的是获取包括银行账户号码、用户名、密码以及信用卡信息在内的敏感信息。这种攻击方式通常是通过发送看似来自合法来源的虚假电子邮件来实现的。电话诈骗接收者大多被诱导点击恶意链接，从而安装恶意软件或获取敏感信息。或者，这也可能只是单纯的一种情况而已。打字错误/拼写错误这种攻击方式会将受害者重定向到恶意网站，从而获取用户的登录凭据。

网络钓鱼的历史

在20世纪90年代初到中期期间，人们可用的互联网接入方式只有“拨号上网”，而这种方式的使用需要支付费用。 对于那些不敢支付网络接入费用的人来说，有一个30天的免费试用期，他们可以使用AOL的软盘来连接互联网。 在审判结束后，与其无法使用互联网，不如想办法修改自己的屏幕身份，让自己看起来像是AOL的管理员。 利用这些虚假的用户名，他们可以骗取登录信息，从而能够继续免费使用互联网。 随着网上银行与电子商务的快速发展，网络钓鱼攻击的数量也迅速增加。 另一方面，网络钓鱼行为也促使人们开发出各种预防策略。例如，反网络钓鱼软件、电子邮件过滤器，以及通过培训来普及关于网络钓鱼诈骗行为的知识。这些举措都发生在21世纪初期。 在21世纪初，很少有人了解什么是网络钓鱼行为。 鲜为人知的是，那些骗子们会伪装成可信赖的当局人员，以此来骗取巨额奖金。 在这段时间里，网络钓鱼攻击者开始针对诸如PayPal和E-gold这样的在线支付平台进行攻击。 例如，那些犯罪分子向大量Paypal用户发送了电子邮件，要求他们更新自己的信用卡信息，但实际上他们窃取了这些用户的个人信息。

网络钓鱼是如何实施的呢？

• 它将会以一些引人注目的标题来吸引人们的注意力，比如“恭喜！您赢得了iPhone”。
• 这会体现出一种紧迫感，这样接收方就没有足够的时间来重新考虑，从而有可能犯下错误。而这样的错误之后可能会给攻击者带来好处。
• 它可能会包含一些与那封电子邮件内容毫无关系的附件。

网络钓鱼行为是如何进行的呢？

1. 准备工作：攻击者会选择某个目标用户，然后收集关于该用户的所有信息，包括电子邮件地址、社交媒体资料以及其他任何相关信息。
2. 创建虚假内容材料：攻击者会创建虚假的内容，包括钓鱼邮件、文本消息或社交媒体上的信息。这些内容通常包含与知名企业类似的标志、品牌标识或语言风格。
3. 钓鱼攻击的实施过程：攻击者通过电子邮件、短信以及社交媒体等方式，向目标用户发送钓鱼内容。这些消息中通常会包含点击链接、下载附件或提供敏感信息的提示。
4. 操纵/操控：这些钓鱼邮件的内容都是为了诱使收件人采取某种特定的行动而设计的。
5. 受害者与施害者之间的互动：如果收件人上当受骗，他们就会点击恶意链接，从而下载了错误的附件。这样一来，用户的所有敏感信息都会被攻击者获取。
6. 数据的利用/剥削：一旦攻击者获得了包含登录凭据、财务信息以及私人数据等敏感信息，他们就可以利用这些信息来实施各种恶意行为。这些行为可能包括身份盗窃、金融诈骗以及未经授权的访问。

各种类型的网络钓鱼攻击

攻击者会使用不同类型的网络钓鱼攻击手段来实施他们的犯罪行为。

1. 鱼叉式网络攻击

这是一种针对特定组织或特定个人的攻击方式。这种攻击并非由普通的黑客发起，而是由那些需要获取与财务利益相关的信息的人所实施的。 spear-phishing攻击与普通网络钓鱼攻击类似，两者都来自可信的来源。这种攻击方式属于最成功的攻击手段之一。

2. 克隆式网络钓鱼攻击

这是一种基于复制来自可信或可靠来源的电子邮件消息来实施攻击的方式。 黑客会篡改原始电子邮件中的信息，同时还会添加链接或附件。 这个链接或附件具有恶意属性，会诱使用户访问一个虚假的网站。 现在，这个被修改过的链接会被发送给大量的人。黑客会等待那些愿意点击这个恶意链接的人出现。 当点击该链接或附件时，邮件会被发送给用户的联系人。

3. 猫式网络钓鱼攻击

这是一种通过社会工程手段实施的攻击方式。这种攻击方式会利用受害者的情感，从而获取利益，比如金钱或受害者的个人信息。攻击者通过这种方式来获取相应的好处。

4. 语音钓鱼攻击

这是一种攻击方式，攻击者并不需要让用户访问他们的虚假网站。 我们有时将这种行为称为“虚拟电话诈骗”。 那些遵循Vishing手法的人，必然具备让受害者相信自己的可信度的能力。 他们还使用了另一种技术，即IVR。当需要追踪、阻止或监控时，这种技术会让法律机构面临困难。 作为一种网络钓鱼攻击，这种手段也被用来获取受害者的信用卡信息以及其他机密信息。

5. 短信钓鱼攻击

这种攻击方式同样会让用户泄露与信用卡信息或某些敏感信息相关的信息。与其他网络钓鱼攻击一样，这种攻击方式也会以可信的来源身份出现，从而欺骗受害者。由于大多数用户都使用安卓手机和智能手机，这就为攻击者提供了实施这种攻击的机会。这样一来，攻击者就可以轻松绕过防火墙，窃取用户信息了。

6. 捕鲸行为或首席执行官的欺诈行为

“Whaling”指的是攻击者选择目标为那些拥有重要权力的人，比如公司的首席执行官。这些攻击者通常会花费大量时间来分析受害者的情况，以确定获取登录信息的最佳时机和方式。而“Whaling”行为尤其令人担忧，因为高层管理人员通常能够接触到大量的公司信息。

为什么需要采用多层次的方法呢？

多层次的方法可以帮助您有效防范网络钓鱼攻击，同时最大限度地减少对用户工作效率的影响。这种策略提供了多种机会，可以在网络钓鱼攻击造成严重损害之前及时发现并阻止它。所采取的缓解措施也有助于应对不同类型的网络威胁。在多层次的方法中，共有四个不同的缓解层次，具体如下所示：

• 第1层：这一层描述了那些能够阻止攻击者接触用户的安全措施。
• 第2层：这一层主要介绍了如何帮助员工识别钓鱼邮件，以及如何提升企业的报告机制。
• 第三层：由于无法完全防止所有类型的攻击，因此这一层主要介绍了如何减少那些被用户点击的钓鱼邮件所带来的负面影响。
• 第4层：每家公司都不可避免地会遇到安全问题。因此，请确保自己能够及时发现这些问题，并以规范化的方式来处理它们。

网络钓鱼威胁

几乎所有的网络盗窃行为都可以通过钓鱼手段来实现。如果点击了那些被恶意链接所伪装出来的链接，那么后果将非常危险。

• 被重定向到一个用于恶意目的的网站。
• 在电脑上安装恶意软件或勒索软件。
• 窃取互联网用户的机密信息，例如信用卡信息。
• 为了进行身份盗窃的目的，而盗用其他用户的身份信息。

网络钓鱼行为的预防措施

首先，最推荐的做法就是仔细查看所有的电子邮件内容。攻击者通常会犯一些微小的错误，而这些错误往往会被忽略。在采取任何进一步行动之前，请再次检查邮件中的拼写、来源以及主题等内容。

• 计算机安全工具应该保持最新状态。
• 切勿打开可疑的电子邮件附件。
• 切勿点击那些可疑的电子邮件链接。
• 请不要通过电子邮件、电话或短信来传递机密信息。
• 请不要在自己的社交媒体上公开分享个人信息，比如假期计划、地址或电话号码等。