我們知道許多通過(guò)惡意軟件或系統(tǒng)漏洞來(lái)竊取密碼的技術(shù)方法,,而其中最難抵御的方法之一就是讓用戶在不知情的狀況下主動(dòng)披露自己的登錄憑證,。
是的,,這就是網(wǎng)絡(luò)釣魚(yú)陷阱。
具體來(lái)說(shuō),,網(wǎng)絡(luò)釣魚(yú)就是誘騙用戶訪問(wèn)假冒的釣魚(yú)網(wǎng)站并將自己的登錄憑證輸入其中的一種技術(shù)手段,。
如今,網(wǎng)絡(luò)安全形勢(shì)日趨嚴(yán)峻,,層出不窮的網(wǎng)絡(luò)釣魚(yú)攻擊不僅可以托管各種惡意軟件和勒索軟件攻擊,,而且更糟糕的是這些攻擊正在呈現(xiàn)不斷上升的趨勢(shì)。
自 2012 年起,,得益于最新網(wǎng)絡(luò)釣魚(yú)技術(shù)的加持,,勒索軟件開(kāi)啟了席卷互聯(lián)網(wǎng)的格局。一些毫無(wú)顧忌且毫無(wú)準(zhǔn)備的用戶(包括企業(yè)和個(gè)人)開(kāi)始發(fā)現(xiàn)自己的屏幕失去了控制,,數(shù)據(jù)也不在自己的掌控之中,,而且想要重新獲取控制權(quán)的唯一方式就是向犯罪肇事者支付贖金,這些贖金通常都是無(wú)法追蹤的加密貨幣,,如比特幣以及門(mén)羅幣等,。
數(shù)據(jù)顯示,這些攻擊的數(shù)量呈現(xiàn)逐年遞增的趨勢(shì),,僅在 2018 年的前 6 個(gè)月就達(dá)到了 1.81 億起的高峰,,比 2017 年同期增長(zhǎng)了 229%。說(shuō)到這里,,不得不提一件有趣的事情,。安全、用戶意識(shí)和組織控制措施等多重因素在 2018 年下半年開(kāi)始發(fā)揮作用,,限制了勒索軟件的發(fā)展,,數(shù)據(jù)顯示,到 2018 年 12 月底,,勒索軟件攻擊同比下降了 60%,。
正如安全、用戶意識(shí)和組織控制措施對(duì)抑制勒索軟件發(fā)展所發(fā)揮的作用一樣,,用戶同樣能夠通過(guò)學(xué)習(xí)和意識(shí)培訓(xùn)等途徑,,做到更容易識(shí)別出網(wǎng)絡(luò)釣魚(yú)嘗試的程度。但是不幸的是,網(wǎng)絡(luò)犯罪分子也一直在尋找操縱個(gè)人用戶和企業(yè)的新方法,,這導(dǎo)致至少有 7 種新型網(wǎng)絡(luò)釣魚(yú)攻擊正在崛起,。
第一種:指向流氓云存儲(chǔ)位置的偽鏈接
這種方法通常被大量用于不熟悉公司所使用的每一種軟件和資源的企業(yè)員工身上。這種偽云鏈接通常會(huì)要求員工輸入用戶名和密碼等信息,。而糟糕的現(xiàn)實(shí)是,,員工通常習(xí)慣將與工作相關(guān)的所有或大部分登錄密碼設(shè)置為同一個(gè),所以在偽鏈接中輸入密碼將為黑客帶來(lái)令人垂涎的豐富信息,。
第二種:網(wǎng)絡(luò)釣魚(yú)附件
即使收件人足夠聰明,,可以避開(kāi)點(diǎn)擊釣魚(yú)郵件中的鏈接,但是在其打開(kāi)電子郵件時(shí),,可能也會(huì)打開(kāi)附近,。
第三種:憑證網(wǎng)絡(luò)釣魚(yú)鏈接
欺詐者可以定制一封電子郵件,該電子郵件看起來(lái)就像是來(lái)自目標(biāo)用戶所使用的服務(wù)提供商發(fā)送的真實(shí)郵件,。當(dāng)它要求獲取憑證時(shí),,一切都悔之晚矣。
第四種:虛假短信息
獲取用戶的電話號(hào)碼允許網(wǎng)絡(luò)犯罪分子發(fā)送看似來(lái)自可信任來(lái)源的短信息,,但實(shí)際上只是在誘使用戶前往釣魚(yú)網(wǎng)站而已,。
第五種:身份仿冒
黑客可以假扮成你認(rèn)識(shí)的人,以獲取你的信任并欺騙你點(diǎn)擊惡意鏈接或下載惡意文件,。
第六種:域名仿冒
在這種形式的攻擊中,,網(wǎng)絡(luò)釣魚(yú)電子郵件域名看起來(lái)與你信任的域名非常相似,除了它有一些不明顯的拼寫(xiě)錯(cuò)誤,,例如來(lái)自 bankoamerica.com 而不是來(lái)自 bankofamerica.com 的郵件,。
第七種:域名欺詐
黑客會(huì)對(duì)覆蓋的真是域名進(jìn)行模糊處理,以達(dá)到網(wǎng)絡(luò)電子郵件域名與合法域名實(shí)現(xiàn)欺詐性的完美匹配,。
針對(duì)以上七種新型的攻擊手段,,業(yè)內(nèi)知名紅客群體給出了如下防御建議。
通過(guò)即時(shí)消息,、短息或電子郵件獲取到的每條信息都需要謹(jǐn)慎對(duì)待,,這是防護(hù)網(wǎng)絡(luò)釣魚(yú)攻擊的一個(gè)經(jīng)驗(yàn)法則。任何看起來(lái)有點(diǎn)可疑的東西都應(yīng)該及時(shí)忽略并刪除,。如果你不確定它是否來(lái)自可信來(lái)源,,請(qǐng)務(wù)必通過(guò)其他方法聯(lián)系該來(lái)源,以確定他們是否發(fā)送過(guò)相關(guān)信息,。
即便每個(gè)人都可能淪為網(wǎng)絡(luò)攻擊的目標(biāo),,我們也要盡可能地成為一支“移動(dòng)靶”,學(xué)會(huì)識(shí)別網(wǎng)絡(luò)釣魚(yú)欺詐的明顯漏洞,。查找郵件以及收件人的電子郵件地址中的拼寫(xiě)錯(cuò)誤和其他不準(zhǔn)確之處,。如果你冒險(xiǎn)點(diǎn)擊了可疑電子郵件中的鏈接,,請(qǐng)立即檢查生成的網(wǎng)頁(yè)是否具有有效的 SSL 證書(shū)。
此外,,請(qǐng)注意設(shè)置截止日期或以其他方式脅迫你做某事的消息,,因?yàn)閴毫途o迫感也是網(wǎng)絡(luò)釣魚(yú)的明顯標(biāo)志。重要的是,,請(qǐng)記住,,合法的服務(wù)提供商不會(huì)要求你提供敏感信息,例如你的登錄憑證——因?yàn)樗麄円呀?jīng)掌握這些信息了,。
最后,,也是最重要的,應(yīng)該研究,、安裝并持續(xù)更新你的設(shè)備所使用的著名防病毒軟件,以確保你的系統(tǒng)安全,。更新軟件可使其惡意軟件數(shù)據(jù)庫(kù)了解最新的威脅類型,,并可靠地保護(hù)你免受攻擊威脅。