网络钓鱼与常规的网络攻击：它们之间有什么区别？

网络钓鱼攻击通过电子邮件、电话以及短信等方式来实施。说服目标对象这种行为可能会导致攻击者窃取数据或下载恶意软件。所谓“定向钓鱼攻击”，就是一种常见的钓鱼攻击方式，攻击者利用用户的私人信息来发送邮件或打电话进行诈骗。

网络钓鱼是一种成功率较低的攻击手段。网络钓鱼行为会显著增加页面被点击或下载的次数。这堪称最危险的网络安全威胁之一。

什么是 spear phishing？

网络钓鱼是一种攻击方式。社会工程学技术这种攻击方式针对的是特定个体。社会工程学利用有关目标的信息来制作出具有说服力的电子邮件或电话脚本。攻击者利用这些信息，伪装成同事、朋友或客户。

以下是一个简单的例子，说明什么是 spear phishing 攻击方式。假设有一家中型公司的 IT 经理，他经常从可靠的合作伙伴那里购买硬件和 SaaS 产品。这个人就是 spear phishing 攻击的理想目标。商业电子邮件被泄露/滥用.

犯罪分子从暗网中获取数据，其中包括该公司的采购历史信息。他们利用这些信息来创建一个虚假的虚拟身份，该虚拟身份包含真实的姓名以及相关的历史信息。

通过研究，攻击者可以创建出看似可信的钓鱼邮件。这些邮件可能包含销售信息或更新通知等内容。IT管理员可能会轻易地点击邮件中的附件，从而下载恶意软件，而他们甚至不会意识到自己犯了一个错误。

网络钓鱼攻击可以更加复杂。攻击者可能会利用社交媒体来与目标建立联系并赢得他们的信任。他们还可能使用间谍软件来收集信息，从而让邮件更具个性化，同时完善自己的假身份。

这些网络钓鱼攻击者通常有着有限的目标。他们的目标包括：

• 说服受害者点击那些虚假网站的链接。这些网站看起来与正规网站非常相似。它们通常会包含需要保密的信息输入字段。在某些情况下，这些虚假网站还会通过下载方式传播恶意软件。
• 下载恶意附件这种有针对性的电子邮件攻击中，邮件中可能包含伪装成宣传册或发票的附件。当目标用户下载这些附件后，攻击者就可以植入恶意软件。这些恶意软件可能会引发勒索软件攻击，或者将监控程序植入到目标网络中。
• 直接提供敏感数据攻击者可能会迫使受害者提供信用卡号码、与重要人物相关的私人信息，或者关于企业战略的重要信息。

在所有情况下，网络钓鱼攻击者都会在发动攻击之前制定好计划。他们懂得如何调查目标、与其互动以及利用目标弱点来实施攻击。因此，这种网络钓鱼攻击的破坏性和隐蔽性远远高于传统的网络钓鱼攻击。

那些成为 spear phishing 攻击目标的人/组织是谁呢？

从诈骗者的角度来看，任何人都可能成为他们利用的“诱饵”。有些攻击则针对那些价值较高的个人。例如：捕鲸袭击重点关注那些属于高管层的受害者。

这种钓鱼手段之所以有效，是因为CEO或CFO们会留下关于自己过往经历和职业经历的详细数据记录。攻击者利用这些信息来制作出内容丰富、信息准确的钓鱼邮件。

高管们通常享有较高的特权。因此，他们的用户账户对试图获取网络访问权限的犯罪分子来说非常具有吸引力。

不过，并非所有的网络钓鱼攻击者都采用这种手段。首席执行官欺诈行为这些骗局的目标通常是那些级别较低的员工。他们通过冒充经理的身份来实施诈骗行为。这种手段使得那些级别较低的员工更容易被说服做出错误的决策。

什么是网络钓鱼行为？

要理解网络钓鱼攻击的重要性，最好的方法就是将其与其他类型的网络钓鱼攻击进行比较。常见的网络钓鱼攻击包括：

电子邮件钓鱼攻击

电子邮件钓鱼攻击会向潜在的受害者发送数千封电子邮件。攻击者使用各种手段来伪装成合法的组织，从而欺骗读者点击附件或访问恶意链接。这些手段包括：

• 打字错误/拼写错误使用与真实URL非常相似的虚假URL，只不过这些虚假URL中包含了一些小的错误。
• 电子邮件欺骗通过利用DNS缓存欺骗以及其他手段，可以创建出“伪造”的发送地址。这种伪造的钓鱼邮件看起来像是来自真实的联系人，但实际上包含恶意内容。
• 网址缩短服务将URL缩短，以隐藏其与合法版本之间的差异。
• 隐藏的链接那些嵌入在图片或其他链接中的链接，可能会让用户误点击这些链接。这样一来，用户就会被重定向到虚假的网站。
• 重定向。这些链接看起来是安全的，但实际上它们会将用户引导到恶意网站。

短信诈骗

“SMS钓鱼”是一种简称，指的是通过发送大量伪造的短信来实施攻击的行为。在SMS钓鱼攻击中，犯罪分子会向用户的工作或私人智能手机发送大量短信。这些短信中包含指向恶意网站的链接，而这些网站可能包含恶意软件，或者要求用户提供敏感信息。

短信诈骗之所以有效，是因为短信中的信息通常会隐藏发件人的地址或链接。相比之下，检查电子邮件以寻找钓鱼行为的证据则更加困难。此外，智能手机可能缺乏能够检测可疑邮件或恶意软件的安全功能。

电话诈骗

“语音钓鱼”是一种利用语音通信手段来操控受害者的攻击方式。这种攻击方式通常会通过直接拨打电话，伪装成可信赖的人员的身份来进行攻击。这类攻击需要通过对目标及其网络进行深入的研究和监控才能成功实施。

其他类型的电话诈骗则发送一些毫无特色的短信，希望有少数接收者会回应。攻击者可能会使用自动拨号软件来降低成本并节省时间，因为他们知道，只要有一些成功的回应，那么这种努力就是值得的。

钓鱼行为

“钓鱼式网络钓鱼”指的是创建虚假的社交媒体账号，以吸引潜在目标与其互动。这其实与那些使用钓鱼诱饵来引诱鱼类的渔民没什么两样。

在这种网络钓鱼攻击中，犯罪分子会模仿社交媒体上的行为模式，比如点赞帖子、回复博客内容以及关注目标用户。这样一来，目标用户就更有可能回应后续的电子邮件或私信了。

网络钓鱼攻击中的“矛型攻击”与“传统网络钓鱼攻击”之间的区别

在讨论预防方法之前，让我们先快速总结一下网络钓鱼攻击与常规钓鱼攻击之间的主要区别。

一种常规的钓鱼攻击方式说服目标采取冒险的行动攻击者通常会使用虚假的身份信息来实施攻击。目标用户会认为攻击者的身份是真实的，因此他们很容易受到虚假网站或附件的攻击。

网络钓鱼是一种……针对性极强的网络钓鱼攻击传统类型的网络钓鱼攻击通常涉及成千上万甚至数百万封电子邮件。而定向网络钓鱼则是一种特殊的网络钓鱼攻击方式。个性化的方法网络犯罪分子会根据目标的需求和兴趣来设计他们的攻击方式。

一般的钓鱼邮件通常都是含糊不清的。而定向钓鱼攻击则更为危险。利用了与目标相关的详细信息。例如，电子邮件中包含了收件人的姓名、所在公司和职位信息。攻击者能够了解收件人的工作经历、经常联系的人以及他们在日常工作中所面临的挑战。

此外，那些以钓鱼方式发送的邮件还带有一些特定的特征。更有说服力的语气标准的网络钓鱼邮件通常带有紧迫的语气，目的是利用人们的恐惧和焦虑心理来实施攻击。网络钓鱼攻击者通常会花费较长的时间来实施他们的计划。他们与目标对象建立联系，并通过类似工作邮件的对话来达到自己的目的。

精心撰写的电子邮件能够带来积极的效果。更高的点击率通常情况下，典型的网络钓鱼邮件的点击率约为10%。而在有针对性的网络钓鱼攻击中，成功的几率则可以达到50%。因此，有针对性的网络钓鱼邮件实际上是一种更为危险的网络威胁。

如何防止鱼叉式攻击和常规的网络攻击呢？

根据德勤的调查，有91%的网络攻击都是始于钓鱼邮件的。所有企业都需要采取预防措施来识别并消除这些网络攻击。以下是一些预防和减轻钓鱼攻击的最佳实践。