网络钓鱼、短信诈骗和电话诈骗：它们之间有什么区别呢？

网络钓鱼、短信诈骗和语音诈骗都是通过利用欺骗手段来说服目标采取冒险行为。虽然这些网络攻击方式之间存在关联，但它们的工作机制却各不相同。本文详细解释了每种攻击方式的特点，以及它们如何融入网络安全策略中。

网络钓鱼、短信诈骗、电话诈骗：了解它们之间的关键区别

网络钓鱼、短信诈骗和电话诈骗，这三种都属于社会工程攻击的三种类型。这三种手段都是为了达到某种目的而采取的攻击方式。通过模仿合法的公司或联系人来欺骗受害者。.

成功的攻击者能够获取有价值的信息，从而实施身份盗窃行为。他们还可能获得对私有网络的访问权限，进而引发严重的网络安全问题。不过，虽然这些攻击的手段相似，但具体的实施方式却有所不同。钓鱼攻击通过电子邮件进行；短信攻击则利用短信来欺骗目标用户点击链接、下载文件或提供敏感信息；而语音攻击则通过语音通话来诱骗目标用户提供相关信息。

什么是网络钓鱼行为？

网络钓鱼攻击是通过电子邮件来欺骗目标用户的。攻击者会以可信联系人、客户或知名公司的名义进行伪装。他们使用具有说服力的文字来引导受害者点击链接或下载附件。

熟练的网络钓鱼攻击者懂得如何制造一种合法的假象。他们精心设计的网络钓鱼邮件与真实邮件非常相似，而其中嵌入的链接则会将受害者引导到看似可信的网站上去。

这些策略非常有效。高达91%的网络攻击都是始于钓鱼邮件的。而到2024年，一次典型的钓鱼攻击的平均成本已经达到了488万美元。

当受害者点击并下载这些恶意文件时，后果可能会非常严重。攻击者通常会创建虚假网站来收集用户的个人信息，比如密码、信用卡号码或用户ID等。这些信息随后会被直接传输给网络犯罪分子，他们可以利用这些信息进行进一步的攻击，或者通过在暗网上进行交易来获利。请进行暗网扫描，以确认公司的任何信息是否已经被泄露或暴露。

网络钓鱼攻击的手段包括来自微软的电子邮件，这些邮件要求用户更改其Teams或Office 365账户的凭据。此外，亚马逊还会发送虚假的电子邮件，其中包含虚假的追踪信息或关于邮件无法送达的提示。在其他情况下，攻击者会伪造来自知名客户的虚假发票，或者诱使目标用户打开来自现有电子邮件联系人的Google文档。

传统的电子邮件钓鱼攻击并非唯一需要警惕的威胁类型。

例如，网络钓鱼攻击这些邮件主要针对那些拥有管理权限的高价值用户。有些钓鱼邮件专门针对高层管理人员。捕鲸骗局他们通过对目标的专业背景、联系方式以及兴趣爱好的深入研究来施加影响。他们专注于那些处于精英阶层的目标对象，以最大限度地获取他们的网络资源。

什么是Vishing？

Vishing攻击通过电话手段来说服受害者采取有害的行为。这些电话模仿了合法的商业联系，并利用相关上下文信息来提升其可信度。

例如，那些通过电话诈骗的手段进行欺诈的行为，通常会声称自己是由技术支持部门的工作人员所联系，他们需要重置系统的安全设置。攻击者可以伪装成之前的客户，然后要求对方支付虚假的账单费用。

在电话脚本中，通常会要求用户提供一些个人信息，比如目标人物的姓名、职位、许可证号码、地址，以及社会保障卡或信用卡的号码。不过，更复杂的攻击方式则是通过多次通话来建立信任关系，从而获取敏感信息。

犯罪分子通常利用自动拨号的方式来拨打大量电话。不过，还有其他许多方法可以用来实施电话诈骗。犯罪分子可以通过伪造来电显示、创建虚假的VoIP号码，甚至使用人工智能机器人来收集信息并拨打有针对性的电话。

这些攻击的复杂程度各不相同。在较为复杂的攻击中，攻击者可以伪造内部电话号码，冒充安全团队，从而控制操作系统或未经授权地传输文件。受害者往往在为时已晚之前，根本无法意识到自己正在与冒名顶替者进行通话。

电话诈骗行为很常见，不过……许多公司忽视了针对员工的“电话诈骗防范培训”。在安全策略方面，模拟的电话诈骗行为能够成功破坏70%的企业安全，尤其是在客户支持部门中。这凸显了需要对所有社交工程威胁进行全面的培训。

什么是短信诈骗？

与网络钓鱼类似，短信诈骗也是通过精心设计的消息来欺骗受害者。不过，短信诈骗使用的是经过设计好的短信内容来实施诈骗行为。

网络犯罪分子会伪造一些看起来像来自品牌、同事或客户的普通短信。例如，他们可能会伪装成供应商，发送指向新产品页面的链接。当用户点击这些看似合法的链接时，他们实际上会进入虚假的联系表单页面。

这个虚假的联系表单看起来与真实的表单非常相似。此外，在智能手机上识别虚假网站比在电脑上要困难得多，因为地址信息往往难以辨认。用户可能会在不自觉的情况下输入敏感信息。

其他类型的短信攻击则是通过恶意软件来感染移动设备。攻击者可能会植入勒索软件，从而锁定设备，直到用户支付相应的加密货币才允许设备恢复使用。不过，广告软件或间谍软件也是常见的攻击手段。

用户通常可以通过文本的语气来识别那些试图通过短信进行诈骗的邮件。犯罪分子会尝试这样做。激发紧迫感他们希望受害者在没有思考的情况下就采取行动。例如，攻击者可以发送关于税收要求或银行取款等虚假警报。

鉴于这种紧迫性，保持冷静并培训员工如何负责任地使用移动设备至关重要。一条简短的短信就可能携带恶意软件，从而感染整个网络。因此，保持警惕和增强意识是非常必要的。

短信诈骗是一种严重的网络安全威胁。在2023年，约有75%的组织都遭遇过短信诈骗事件。攻击者利用了员工使用自带设备的做法，以及远程工作的趋势来实施诈骗。短信的点击率介于8.9%到14.5%之间，而电子邮件的点击率则仅为2%。这些统计数据表明，即使对于那些技术能力较低的攻击者来说，短信也是一种很有吸引力的攻击手段。

如何防止短信钓鱼、电话钓鱼和网络钓鱼攻击

企业需要制定全面的策略来防止网络钓鱼、短信诈骗和语音诈骗等攻击。安全团队不能忽视任何一种攻击手段，因为犯罪分子最终总会找到并利用这些漏洞来实施攻击。

以下这些预防方法可以帮助你降低遭遇网络钓鱼攻击的风险。

防范网络钓鱼攻击的提示/建议

• 对工作人员进行培训，以识别可疑的电子邮件。网络钓鱼行为的防范意识非常重要。员工应该能够识别出可疑的链接和附件，检查发件人的地址是否真实，识别拼写错误的URL，并分析电子邮件内容中的异常之处。
• 加强员工的知识储备随着时间推移，人们对网络钓鱼行为的警惕性会逐渐降低。因此，需要定期进行网络钓鱼相关培训，以保持良好的警惕性和相关知识。这些培训应包括基于实际场景的练习，从而帮助人们识别网络钓鱼邮件。
• 永远不要相信那些要求提供机密信息的请求。除非你明确提出了相关请求，否则应将所有数据请求都视为可疑行为。请与联系你的机构确认该请求是否合法，以及该请求是否符合业务需求。
• 实施电子邮件过滤功能电子邮件过滤器利用威胁情报数据库来扫描传入的邮件，以检测其中的已知威胁。
• 防止内部电子邮件的伪造行为DMARC、DKIM和SPF协议可以帮助您验证每一封内部电子邮件的真实性。利用这些协议，可以识别伪造的邮件，从而确保组织内部的信任关系得到维护。
• 管理权限，以缩小攻击面。应立即降低这些行政权限。遵循“最小权限原则”，以限制那些成功实施网络钓鱼行为的人的自由。

防止语音钓鱼的提示/建议

• 实施安全的通信政策员工不应向不认识的来电者提供任何个人或机密信息。无论来电者声称自己代表的是合法的公司，都应核实其身份。
• 通过“Vishing”培训来提升员工的能力通过实际的通话场景来介绍“Vishing”战术。展示利用简单的请求来欺骗他人的过程其实有多容易，并探讨如何评估每次通话所带来的风险。
• 不要害怕挑战那些来拜访你的人/他们。Vishers依靠的是目标对象的善意来达成目的。千万不要落入他们的圈套。可以主动提出回电，然后联系来电者所在的机构以确认其身份。合法的人士不会介意这种情况，而你可以借此机会识别出那些心怀不轨的人。
• 使用最新的来电显示工具。利用尖端技术来识别每一位来电者。定期更新来电显示系统，以有效应对各种伪造来电的行为。
• 请向合作伙伴通报那些针对电话诈骗的攻击情况。Vishers通常会模仿那些值得信赖的客户或合作伙伴的行为。他们分享有关攻击方法的情报，共同协作以找出问题的根源。
• 检查是否存在数据泄露或其他网络钓鱼攻击。那些消息灵通的犯罪者，自然需要了解有关贵机构的信息。假设又发生了数据泄露或身份盗窃事件，那么必须采取适当的措施来应对这种情况。

防止短信诈骗的小贴士

• 将工作设备与个人设备分开使用员工需要拥有一台专门用于处理工作事务的智能手机，因此，他们不应将个人邮件或社交媒体内容与日常工作流程混在一起。
• 培训员工如何安全使用移动设备。员工应该了解每一条短信所伴随的风险。应培训员工避免点击来自陌生人的链接，同时避免在未经确认的情况下输入敏感信息。
• 使用安全工具来识别可疑的下载行为。确保员工安装防病毒工具和URL扫描工具，这些工具能够主动扫描每条短信中的恶意内容或危险链接。
• 尽量减少在商业活动中对短信的依赖。使用安全的通信渠道和协作平台。不要经常通过短信发送机密信息。
• 工作设备上需要启用多因素认证。多因素认证要求用户在登录网络或设备时提供多种凭证。这样可以有效防止凭证被盗用，从而降低恶意攻击带来的损害。

请记住这一点。网络钓鱼行为依赖于人类的错误行为。安全专业人员依赖那些具备丰富知识和经验的员工来识别可疑的电话或短信。

将网络钓鱼、短信诈骗和语音诈骗的培训结合起来，以覆盖所有相关领域。全面的培训强调了这样一个观点：即便是简单的短信或随意的电话通话，也可能对网络安全造成威胁。