网络钓鱼是一种长期存在的社会工程技术,网络犯罪分子利用它来诱骗人们放弃敏感信息(例如信用卡详细信息、登录凭据、电话号码、地址等)以获取经济利益。由于没有获得同意或批准,受害者甚至不知道自己的信息已被泄露。据反网络钓鱼工作组(APWG)报告,2022年第四季度,全球网络钓鱼攻击数量创下了超过470万次攻击的记录。这意味着自 2019 年以来每年增长率超过 150%,其中金融行业是最有针对性的。
攻击者使用这些电子手段分发有说服力的文本和图像,通过说服受害者通信的合法性来赢得受害者的信任。这种诈骗有多种形式,包括电话钓鱼、短信钓鱼(短信钓鱼)、钓鱼电子邮件和钓鱼网站。
接触潜在受害者的一种常见方法是通过电子邮件提供看似合法的网络钓鱼链接 (URL),这些链接会指向恶意网站。即使是在 Facebook、WhatsApp 和 Instagram 等社交网站和应用程序上发送的消息也可能包含网络钓鱼链接,以及点击它们的理由——同时声称它将把用户重定向到他们所认可的官方页面。此外,在搜索引擎结果中发现良性链接中的恶意链接也很常见。
值得注意的是,恶意链接可能与攻击者试图冒充的实际 URL 非常相似。这些网络钓鱼 URL 的一个常见示例是www.faceb00k.com — 真实www.facebook.com的伪装版本。 URL 之间非常相似的外观带来了另一个安全漏洞,攻击者可以利用该漏洞,因为用户在互联网浏览器中输入 URL 地址时可能会输错字母。这些几乎相同的 URL 可能会被网络钓鱼网站获取。在野外,我们可以找到外观与实际完全不同的网络钓鱼 URL 的示例,它们似乎是非常长的 URL 的缩短版本,就像 Google URL 缩短器生成的 URL 一样。
网络钓鱼网站可能很难识别。为了欺骗受害者放弃个人信息,许多网站看起来与他们所模仿的网站非常相似。在某些情况下,攻击者构建的虚假网站很糟糕,而且页面看起来很明显是扭曲的。比如原始版本的渲染效果不佳,或者页面上存在意外元素(页脚、菜单或面板)。还可能存在一些文本元素,包括不匹配的排版和/或语言。
然而,由于任何网页的大部分源代码都可以通过互联网浏览器访问,因此创建看起来与合法网页相同的网络钓鱼网页相当容易,这使得通过视觉评估或“用户直觉”来识别恶意页面,准确地做到这一点非常具有挑战性。
由于在将网络钓鱼电子邮件分类为垃圾邮件方面取得了进展,网络钓鱼电子邮件通常不太成功。然而,一些网络钓鱼电子邮件和链接仍然设法溜进收件箱。然而,攻击者分发恶意 URL 的方式变得越来越有创意。例如,诈骗者可以通过打电话或发送大量短信来分享这些信息,这是攻击特定人群的伎俩。其范围包括在热门 YouTube 用户的视频中发布恶意 URL,到用于身份验证的欺骗性应用程序,向用户显示包含安装了凭据窃取程序的网络钓鱼网站的二维码。您可以在下面找到最近网络钓鱼活动的两个示例。
网络钓鱼仍然是一种主要的攻击方法,因为它允许网络犯罪分子大规模瞄准人群。通常,他们会假装是目标目标拥有账户的大公司的代表来传播网络钓鱼诈骗。银行、政府机构、电子商店、电子邮件服务提供商和电信公司是最容易遭受网络钓鱼攻击的企业,因为它们拥有大量客户且涉及敏感数据。
由于与合法网站存在明显差异,一些现代网络钓鱼网站很容易在野外被发现。如今,网络犯罪分子利用工具包在短时间内创建钓鱼页面,而不需要网站建设方面的专业知识。您可以在下面找到此类攻击的示例,其中视觉差异揭示了该网站的虚假性。
在之前的 Facebook 登录页面中,我们可以看到一些让我们怀疑网站真实性的变化,比如更大的徽标、排版差异、缺少页脚文本、“创建新帐户”按钮的绿色略有不同语气等。
然而,仍然存在极具欺骗性的网络钓鱼网站。在这些情况下,攻击者会花费大量精力使它们看起来像真实的东西。在下面的示例中,您可以看到网络钓鱼网站与真实网站相比有多么相似。
在上面显示的登录页面中,我们可以发现一些小细节,这些细节将网络钓鱼网站与实际登录页面区分开来。网络钓鱼版本几乎是原始版本的复制品,其中的更改非常微妙且离散,故意不让受害者注意到,即页脚文本具有不同的对齐方式,其中缺少元素,或者不显示它们正确。
多年来,网络钓鱼网站已经发生了巨大的发展,已成为令人信服的假冒网站。有些甚至使用 HTTPS,当用户看到绿色挂锁时,会给他们一种错误的安全感。
当网络钓鱼网站与合法页面一起放置时,网络钓鱼网站中的小缺陷可能会显得很明显,但单独使用时并不那么明显。但回想一下您上次看到经常使用的服务的登录页面是什么时候。您很可能很难回忆起所有细节,而这正是网络钓鱼诈骗者在设计页面时所希望的。
从历史上看,传播网络钓鱼网站的最常见方式是通过网络钓鱼电子邮件,但它们也通过搜索结果中出现的付费广告进行传播。其他攻击媒介包括一种称为点击诱饵的技术。网络犯罪分子通常在社交媒体上使用点击诱饵,通过承诺提供免费电话等东西来鼓励用户点击恶意链接。
与几乎所有现代网络攻击一样,网络钓鱼也被用来获取经济利益。当用户放弃钓鱼网站的登录凭据时,网络犯罪分子可以通过多种不同的方式滥用它们,具体取决于用于钓鱼的网站类型。许多网络钓鱼攻击模仿金融机构,例如银行或 PayPal 等公司,旨在为网络犯罪分子带来巨额经济回报。
如果网络犯罪分子诱骗用户放弃其运输网站(例如 UPS 或 FedEx)的凭据,他们不太可能通过访问该帐户来获利。相反,他们可能会尝试使用相同的凭据来访问具有更有价值信息的其他帐户(例如电子邮件帐户),因为他们知道人们经常在多个服务中使用相同的密码。网络犯罪分子获利的另一种方式是在暗网上出售被盗的凭证,这是互联网的更深层次,私人网络在不泄露身份信息的情况下匿名开展业务。
这是一种“喷雾和祈祷”的攻击方法。网络上许多过时的 WordPress 网站都可以被黑客攻击并以非常低的成本用于网络钓鱼活动。一般来说,部署网络钓鱼工具包的价格约为 25 美元,这对于攻击者来说非常实惠,并且仍然有利可图。对于潜在受害者来说,网络钓鱼的另一个缺点是攻击的生存时间 (TTL) 很短,而且 URL 在一次活动中经常发生变化,这使得标准检测方法(例如创建可疑 URL 的阻止列表)无法有效抵御零日攻击。
成功的网络钓鱼攻击之间的时间通常会有所不同——网络犯罪分子获取凭证的时间和他们使用凭证的时间。我们越快减轻威胁,我们就能保护越多的潜在受害者。一旦用户的凭据被盗,除了尽快更改这些凭据之外,他们无能为力。
2024 年,网络安全研究人员发现证据表明,还有绕过各种垃圾邮件过滤器的新技术,甚至是 Google 上最好的技术。例如,附件以不包含任何文本的 PDF 文件形式发送,以将用户重定向到其他 Google 服务,例如 Google 文档。此外,还使用其他非标准网络钓鱼附件,例如日历邀请,其中链接到网络钓鱼站点的 URL 也包含在事件描述中。
下面是一个清单,可帮助您防止成为最成功的网络攻击形式之一的受害者:
作者:哈维尔·阿尔达纳·伊伊特博士。 GEN 视觉网络钓鱼和诈骗网络威胁检测 AI/ML 研究员