什么是 spear phishing？

专家估计，犯罪分子每天会发送34亿封钓鱼邮件。而超过90%的网络攻击都是源于这些钓鱼邮件。大多数钓鱼邮件很容易被识别并排除。不过，有针对性的、经过精心设计的钓鱼邮件则更加具有欺骗性，更容易吸引受害者点击。

网络钓鱼攻击者通过精确的细节来吸引注意力，同时模仿可靠的来源。不过，这种手段并非万无一失的。本文将解释什么是 spear phishing，以及它的运作方式。我们还将介绍不同类型的 spear phishing 攻击，并探讨一些预防方法，以保护您的数据，避免受到那些精心设计的钓鱼邮件的威胁。

网络钓鱼的定义

网络钓鱼是一种网络攻击方式，其中攻击者会伪装成合法的用户或组织，试图诱骗受害者点击恶意链接或下载恶意文件。攻击者会伪装成可信的联系人或组织来实施攻击。与传统的网络钓鱼攻击不同，定向网络钓鱼攻击具有高度针对性。犯罪分子会精心制作个性化的信息，并利用社交工程技巧来建立自己的可信度。

spear phishing是一种试图诱使受害者点击恶意链接或下载被恶意软件感染的附件的攻击方式。一旦成功，攻击者就可以获取用户的登录凭据以及其他敏感信息，或者传播勒索软件等有害的恶意软件。

网络钓鱼攻击是如何进行的呢？

spear phishing的方式是通过诱使受害者采取冒险的行动来达到目的。实现这一目标的最常见方法就是……假设自己是以受害者所熟悉且信任的人的身份来行事。例如，网络钓鱼攻击者可能会伪装成某个值得信赖的IT供应商或全球知名的金融服务提供商。

网络钓鱼是一种复杂的攻击手段，其过程始于对目标进行详细的调查。攻击者会收集有关受害者工作活动和私人生活的信息。他们通过开源资源（如LinkedIn）或购买暗网上的个人资料来获取这些信息。

通过研究目标，犯罪分子可以实施他们的犯罪行为。社会工程学技巧那些利用人类的天性来实施犯罪行为的攻击者，会结合各种手段和巧妙的语言技巧，试图说服目标对象执行特定的行为。

网络钓鱼攻击往往采用以下几种手段：需要使用紧急的措辞，并遵守严格的截止日期。为了鼓励人们采取行动，攻击者可能会利用各种手段来诱导用户采取行动。例如，他们可能会利用即将到来的税款缴纳等场景来实施攻击。他们还会发送看似合法的虚假安全通知。或者，他们可能会模仿同事的常规请求，以促使用户采取行动。无论采用何种手段，他们的目的都是让用户采取行动。

这种网络钓鱼邮件或短信中通常包含以下内容：激励人们采取行动也就是说，它起到了连接目标与攻击向量的作用。例如，电子邮件可能会引导员工进入一个虚假的密码重置页面，或者引导他们填写需要提供财务信息的运输相关表格。

在其他情况下， spear phishing攻击会通过受感染的PDF文件、电子表格或包含恶意脚本的文档来传播恶意软件。用户点击这些附件后，嵌入在其中的恶意软件就会被激活，从而导致数据被盗取或遭受勒索软件攻击。

了解网络钓鱼、普通网络钓鱼以及“whaling”之间的区别。

网络钓鱼攻击有很多种。虽然“定向网络钓鱼”是最危险且最常见的攻击类型之一，但安全团队仍需防范所有类型的网络钓鱼攻击。了解定向网络钓鱼、普通网络钓鱼以及“鲸鱼式”网络钓鱼之间的区别是非常重要的。

spear phishing与标准网络钓鱼攻击的区别

简单的网络钓鱼攻击向多个目标发送普通电子邮件或其他类型的消息。网络钓鱼邮件通常不会针对每个接收者进行个性化处理（不过，自动化的攻击手段可能会添加一些基本信息，以使邮件看起来更合法）。

诈骗者利用大量电子邮件来扩大自己的影响力。他们并不介意有99%的收件人无视他们的邮件。由于发送大量电子邮件的成本很低，因此只要有一些成功的点击行为，就能带来利润。

spear phishing攻击

网络钓鱼攻击与普通的网络钓鱼攻击有所不同，因为它们使用的是……利用社会工程学技术来创建个性化内容犯罪分子利用个人身份信息来建立信任关系，从而诱使他人做出危险的行为。

高级的网络钓鱼攻击者还利用人工智能技术来降低攻击的成本。这些攻击者使用大型语言模型来研究目标对象，从而生成那些点击率与人类编写的邮件相当或更高的电子邮件。

攻击者通常会向同一组织内的许多人员发送个性化的网络钓鱼邮件。如果攻击者能够成功攻破该组织内的一批账户，那么就有可能导致数据泄露以及后续的网络攻击。

网络钓鱼攻击与恶意攻击的区别

捕鲸是一种专门的钓鱼攻击方式。针对高级军官和高级管理人员这些攻击主要针对那些拥有访问敏感信息的权限，并且能够向员工或企业合作伙伴下达指令的特权账户。

捕鲸人会对他们的目标进行广泛的调查，通常会在发送电子邮件之前数月就开始进行相关调查。犯罪分子可能会通过社交媒体或直接发送电子邮件、打电话等方式与受害者建立联系。攻击者了解得越多，就越容易欺骗和操控那些高价值的目标。

网络钓鱼攻击的实施过程非常耗费人力，且成本也高于传统的钓鱼攻击方式。而传统的钓鱼攻击则更容易被大规模实施，且执行起来也更为迅速。不过，成功的网络钓鱼攻击所带来的收益却相当可观。因此，企业高管往往成为网络钓鱼攻击的绝佳目标。

spear phishing攻击的例子

犯罪分子不断评估目标对象，并通过Telegram聊天频道或暗网市场来传递信息。正如这些例子所显示的那样，任何组织都容易成为网络钓鱼攻击的受害者。

伪造的供应商发票

这些网络钓鱼攻击模仿受害者所在公司所使用的可信供应商的行为。攻击者知道，目标通常会批准供应商提供的发票。他们赌的是，目标会像对待合法联系人一样与这些诈骗者进行联系。

这些电子邮件中包含了这样的通知：如果延迟支付发票，将会面临罚款或服务中断的惩罚。邮件中嵌入的恶意链接会引导员工进入一个支付平台，该平台会收集员工的财务信息，并将其发送给那些从事网络钓鱼活动的团伙。

IT支持相关的诈骗行为

其他类型的网络钓鱼诈骗行为利用我们对专业IT支持合作伙伴的依赖。这些诈骗者会模仿那些技术合作伙伴的IT支持团队的行为。他们通过发送电子邮件来通知员工有关技术问题的信息，或者提醒员工密码即将到期。

受害者会点击这些虚假网站来解决问题。随后，他们输入自己的凭据，以为自己正在访问合法的IT服务。人工智能聊天机器人也可以模仿客服团队的声音，从而让IT诈骗行为显得更加可信。

内部欺诈行为

spear phishing攻击并不总是模仿外部合作伙伴或可信品牌的行径。诈骗者也可以采取其他手段来实施攻击。以同事的身份来扮演自己的角色。因此，对发送到企业邮箱中的每一封电子邮件进行筛选是非常重要的。

有些内部钓鱼攻击利用了员工的个人利益。例如，攻击者可能会冒充人力资源部门的员工，向员工发送消息，声称他们有资格获得丰厚的奖金。当目标点击链接以申请奖金时，攻击者会利用伪造的薪资管理系统来窃取员工的个人信息。

人力资源团队对于网络钓鱼攻击者来说非常有用，因为他们能够利用员工的情绪来实施攻击。员工们通常会点击这些邮件，以获取有关他们的休假权益或奖金待遇的信息。这些有针对性的网络钓鱼邮件很难被检测出来，而且通过员工培训也难以防止这种攻击行为。

首席执行官欺诈行为

这种类型的商业电子邮件欺诈行为通过假装自己就是公司的首席执行官来应对各种攻击。这种针对性攻击的方式，会将恶意内容发送给初级员工，诱使他们采取冒险的行动。例如，攻击者可能会命令财务部门的人员向某个虚假的支援公司支付一笔款项。

CEO欺诈行为之所以有效，是因为高层管理人员拥有很大的权力。而基层员工往往不愿意质疑他们的指示。因此，那些包含“机密支付”等可疑内容的邮件也常常被忽视而不被发现。

如您所见，鱼叉式攻击是一种非常灵活的手段。我们可以继续列举更多类似的欺诈手段，比如虚假的慈善捐款请求、伪造的工作机会、伪造的IRS域名、虚假的法律威胁等等。企业需要采用能够防范所有这些操纵性诈骗手段的方法。

如何防止鱼叉式网络攻击

网络钓鱼行为可能导致数据泄露、恶意软件感染、凭证被盗用，以及面临监管处罚。因此，预防此类攻击至关重要。不过，要应对网络钓鱼攻击并不容易，尤其是当攻击者使用社交工程手段以及精心设计的攻击手段时。

不过，企业可以通过遵循最佳实践来应对网络攻击的风险，从而有效预防有针对性的网络钓鱼攻击。

为您的工具包添加下载保护功能吧。

spear phishing攻击通常利用恶意附件或通过恶意链接进行下载的方式来实施。思博的下载和网页保护工具能够有效降低这两种风险。

下载保护工具能够通过在网络设备上执行之前对下载内容进行筛选，从而有效防止 spear phishing 攻击。Web 保护功能则通过 DNS 过滤来阻止已知的攻击网站；而深度包检测功能则可以阻止未经授权的应用程序的访问。

使用多因素认证来防止凭证被盗用。

多因素认证可以作为一种安全保障机制，以防网络钓鱼攻击者窃取用户的凭证信息。认证工具会通过令牌或短信等方式，向用户发送唯一的、一次性使用的凭证。只有拥有这些一次性凭证的用户才能访问网络。用户名和密码显然不足以实现安全登录。

MFA还能降低账户被劫持的风险。网络钓鱼攻击者很难控制内部账户，因此他们也无法使用内部电子邮件地址来发送有针对性的网络钓鱼邮件。

安全意识培训

培训是有效防范网络钓鱼攻击的关键。那些了解网络钓鱼风险的员工，能够更有效地分析电子邮件内容，从而在攻击成功之前就发现并应对这些攻击。

安全意识培训能够让人们认识到安全的重要性。验证联系人信息在发送机密信息或点击附件之前，员工还应确保自己已经充分了解相关情况。了解网络钓鱼邮件中的危险信号。比如，拼写错误的内容、伪造的发送者地址，以及过于紧急的措辞等。

使用/运用网络钓鱼模拟在工作场所中积累相关知识，同时创建用于报告疑似网络钓鱼邮件的保密工具。

通过零信任控制机制，实现对敏感信息的有效管理。

spear phishing攻击通常会暴露网络资产，因为攻击者可以在被入侵的网络中自由移动。拥有特权账户的诈骗者可以访问数据库，提取信息以供出售或用于进一步的攻击。

零信任网络架构(ZTNA)提供了一种解决方案。它允许用户仅拥有执行其专业职责所需的必要权限。除非用户通过验证测试，否则他们无法访问某些资源。这样一来，网络钓鱼攻击者利用被攻破的账户进行恶意行为的机会就大大减少了。

实施电子邮件安全工具

电子邮件签名验证发送者和接收者的真实性，确保安全团队能够确认那些试图欺骗他人的人并未成功渗透进通信链条中。

使用DomainKeys Identified Mail (DKIM)来确保电子邮件在传输过程中不会被篡改。同时，利用Sender Policy Framework (SPF)来防止伪造的域名被用于发送邮件。将这两种技术结合使用，再加上基于域的消息认证、报告和一致性机制(DMARC)，就可以及时发现那些经过验证失败的邮件，以及疑似用于网络钓鱼的邮件。

公开报道企业的各项活动信息。

在某些情况下，攻击者会从被窃取的数据集中获取相关个人信息来创建攻击账户。不过，大多数 spear phishing 攻击都是基于关于目标对象的公开信息进行的。企业可以通过限制有关员工和业务运营的公共信息的数量，从而减少其受到的攻击风险。

实施严格的政策，以防止其被滥用。商业账户可以用来发布与私人生活相关的信息。请提醒员工们，犯罪分子会利用关于个人的详细信息来制作钓鱼邮件，尤其是在寻找高层目标时。

威胁情报平台这些工具可以帮助追踪公司或个人的相关信息。它们会搜索暗网论坛和其他相关渠道，以获取有关这些个人或公司的信息。这种情报可能有助于提前发现那些被入侵的账户。

提高人们的意识，以预防鱼叉式网络攻击。

网络钓鱼攻击通过欺骗受害者来使其下载恶意文件或访问他们通常不会访问的网站。这种操纵性的网络攻击非常常见，大多数网络钓鱼团伙都能实施这种攻击方式。如果成功的话，这种攻击会带来极大的损害。因此，采取有效的预防措施至关重要。

通过定期的员工培训来提高员工的安全意识。利用电子邮件签名、下载保护机制以及DNS过滤技术来检测钓鱼攻击。如果攻击者成功实施攻击，那么多因素认证和零信任控制机制可以充当第二道防线，从而保护系统安全。