什么是网络钓鱼?

网络钓鱼是指尝试诱使恶意电子邮件的收件人打开并操作恶意电子邮件的行为。该电子邮件的“发件人”通过让电子邮件假装发送自信誉良好的来源(如政府部门、供应商或企业客户)来欺骗受害者。

网络钓鱼电子邮件可能具有恶意附件,如 PDF 或 Word 文档,一旦打开,这些附件将会通过安装恶意软件来危害用户的计算机。或者,网络钓鱼电子邮件将在正文中包含恶意 URL 链接。当用户单击该链接时,他们可能会被定向至看似合法的网站,但实际上该网站用于收集机密信息(如用户名和密码)或将恶意软件安装到设备上。

如何实现此目的?

为实现此目的,网络犯罪分子只需使用受到入侵的电子邮件帐户或伪装发件电子邮件地址,从而让真正的恶意发件人获得伪装。这是一个相对简单的任务,涉及的工作比改动电子邮件标头多不了多少,经此处理之后,当该邮件到达用户收件箱时,它会显示为发送自 info@anybank.com,而不是 johndoe@example.com。

网络犯罪分子只需使用受到入侵的电子邮件帐户或伪装发件电子邮件地址。

遗憾的是,默认情况下,负责接收电子邮件的电子邮件服务器不会检查确认 example.com 是否有权以 anybank.com 的名义发送电子邮件。提议和部署了多种技术解决方案来消除这一电子邮件身份验证漏洞,但解决方案的采用速度十分缓慢。1 部分挑战在于,需要正确配置发送和接收电子邮件服务器,这种身份验证机制才能正常运行。

网络钓鱼电子邮件攻击通常是更广泛的垃圾电子邮件攻击的组成部分,通常由被入侵的计算机僵尸网络大量发起。2016 年,垃圾电子邮件数量增加了 400%,全球发送的所有电子邮件中有将近一半被视为垃圾邮件。2 但是,随着 Necurs 僵尸网络的摧毁,在 2017 年间,垃圾邮件数量减少了 50%。3 尽管有着这一积极发展趋势,电子邮件仍是用于分发恶意软件的主要方法。4

网络钓鱼的类型

欺骗性网络钓鱼:这是最常见的网络钓鱼欺诈类型,其中网络犯罪分子模拟合法公司或域并企图盗取个人身份信息 (PII) 或登录凭据。这种网络钓鱼方式通常缺少自定义或个性化设置,并且以散乱的方式传播。犯罪分子的意图是,如果电子邮件数量巨大,则将有足够数量的用户打开电子邮件。

此类欺诈的示例包括发送给广大受众的“银行业务”网络钓鱼电子邮件,犯罪分子希望部分收件人是邮件假扮的银行的客户。该电子邮件的主题行通常经过了精心设计,以便制造紧迫感:“您的银行帐户已被破坏 - 请立即更新您的密码”或“随附了过期的发票 - 请立即付费以避免法律诉讼。”如前所述,在单击链接并提交详细信息或打开附件后,收件人将受到侵害。

“您的银行帐户已被破坏 - 请立即更新您的密码”

针对性网络钓鱼:与常规网络钓鱼电子邮件不同,针对性网络钓鱼电子邮件包含大量个性化设置。虽然最终目标相同(即诱导收件人单击恶意 URL 或者附件),但发件人会自定义攻击电子邮件,以便包含目标的姓名、公司或职务,或者提及收件人的同事和企业人脉。这些个人详细信息使收件人更有可能操作恶意内容。考虑到业务网络站点和社交媒体的激增,网络犯罪分子可以相对简单地收集到能够加强电子邮件可信度的必要个人信息。

鲸钓式网络钓鱼/CEO 欺诈/业务电子邮件入侵 (BEC):这种类型的网络钓鱼针对的是企业领导团队,其目标是对“大鱼”(管理层人士)执行针对性网络钓鱼,并收集他们的登录凭据。这些详细信息被盗后,网络犯罪分子就可以假扮管理层人士,从而通过业务电子邮件入侵 (BEC) 执行 CEO 欺诈并授权进行电汇或其他重要操作。此情形的示例包括 CEO 向财务团队发送的紧急电子邮件,以授权转账足够的资金,理由是她在中国出差,并且迫切需要向本地供应商支付待付款发票款项。在 2014 年到 2016 年间,CEO 欺诈影响了 12,000 家公司并造成了 20 亿美元的代价。5

在 2014 年到 2016 年间,CEO 欺诈影响了 12,000 家公司并造成了 20 亿美元的代价。

减少网络钓鱼对您的企业造成影响的风险

培训最薄弱的环节。网络钓鱼要求用户打开或单击恶意内容。因此,必须培训员工如何识别、避免和举报各种类型的网络钓鱼。可在练习中向公司员工发送伪造的“网络钓鱼”电子邮件,此做法可有效指导用户区分真正的供应商通信和带有主题行“紧急:随附了发票 - 请打开并立即付款。”的网络钓鱼电子邮件。公司必须致力于开展持续培训课程并提升整个组织对于此行为的认知。

别忘了也要培训企业领导。高层管理人士与员工一样容易犯错,但企业领导出现的安全错误会带来严重得多的后果。与鲸钓式网络钓鱼一样,CEO 欺诈和业务电子邮件入侵 (BEC) 也在不断增加,因为网络犯罪分子变得越来越复杂。因此,确保将企业领导包含在您的培训和认知计划中。

别忘了也要培训企业领导。

审查您的财务流程。在当今的超级互联和高要求环境中,开展业务的成本也在持续增长。因此,企业经常需要迫切地在全球范围内转账大量资金,应用和/或接受的转账严格程度也各有不同。了解用于验证此类转账是否正当的实施过程。没有人喜欢阻碍、质疑或扰乱管理层,但极度小心的态度总好过于随随便便就从公司钱柜中拿出数十万资金。

部署多层安全防御。考虑到这一原则 — 恶意攻击者将竭尽所能绕过您的安全措施并不断修改攻击策略,最好采用纵深防御安全策略。首先使用可扫描所有传入您公司的电子邮件的电子邮件过滤器;这将阻止相当一部分网络钓鱼尝试。然后,设置一个也包含网络钓鱼防护的端点防病毒产品。最后,部署一个解决方案,该解决方案可在用户单击恶意链接时查看传出的 Web 请求。这可以是基于 DNS 或代理的解决方案。

最好采用纵深防御安全策略。

激活多因子身份验证。即使执行上述所有预防措施,仍有可能成功发生网络钓鱼攻击,导致员工的用户名和密码被盗。为缓解此类风险,请部署多因子身份验证,以确保即使凭据被盗,恶意攻击者也无法访问您的应用程序、服务和敏感数据。


1 https://luxsci.com/blog/state-domain-based-email-authentication-part-1.html
2 https://www.ibm.com/security/data-breach/threat-intelligence-index.html
3 https://www.proofpoint.com/sites/default/files/pfpt-us-tr-q117-threat-report.pdf
4 http://www.verizonenterprise.com/verizon-insights-lab/dbir/2017/
5 https://www.ft.com/content/19ade924-d0a5-11e5-831d-09f7778e7377
6 https://www.ibm.com/security/data-breach/threat-intelligence-index.html
7 https://www.symantec.com/security-center/threat-report
8 https://www.symantec.com/security-center/threat-report
9 https://www.symantec.com/security-center/threat-report
10 https://www.proofpoint.com/us/human-factor-2017
11 https://www.proofpoint.com/us/human-factor-2017