网络钓鱼攻击:如何运作及如何防范
了解什么是网络钓鱼攻击、诈骗者常用的战术,以及您可以采取哪些步骤来识别和避免这些欺骗性的在线威胁。
要点: 网络钓鱼是最普遍的网络攻击手段之一,通过虚假邮件、电话和网站来窃取凭证。有效的防御需要将安全工具与持续的警惕和对未经请求的通信的怀疑态度结合起来。
网络犯罪分子不断改进他们的战术以窃取个人信息和破坏系统。网络钓鱼仍然是他们最有效的武器。美国联邦调查局互联网犯罪投诉中心报告称,2022年有超过300,000起网络钓鱼投诉,损失超过5,200万美元。
这些攻击通过虚假邮件、电话、短信和网站来欺骗人们交出凭证。了解每种类型的工作原理是建立真正防御的第一步。
| 钓鱼类型 | 方法 | 主要目标 |
|---|---|---|
| 电子邮件钓鱼 | 大量虚假邮件模仿可信品牌 | 广泛受众——凭证、支付信息 |
| 鱼叉式网络钓鱼 | 使用受害者已知详细信息的个性化邮件 | 特定个人或组织 |
| 语音钓鱼 | 冒充银行或技术支持的电话 | 财务信息、账户访问权限 |
| 短信钓鱼 | 包含恶意链接的虚假短信 | 移动用户、快递/包裹欺诈 |
| 捕鲸 | 针对高管或C级管理层的高度针对性攻击 | 电汇、敏感公司数据 |
| 网络仿冒 | 悄无声息地将合法URL重定向到虚假网站 | 大规模登录凭证 |
| 克隆钓鱼 | 复制真实邮件并交换恶意链接 | 信任原始发件人的受害者 |
如何检测网络钓鱼尝试
网络钓鱼信息具有常见的危险信号。快速发现它们可以防止凭证被盗和恶意软件感染。
检查发件人地址。 攻击者经常伪造显示名称,但使用拼写错误的域名。来自”support@amaz0n-security.com”的邮件不是来自亚马逊。将鼠标悬停在发件人字段上可以显示实际地址。
查找紧迫性和威胁。 声称”您的账户将在24小时内被锁定”的信息会促使您在没有思考的情况下采取行动。合法公司很少通过电子邮件施加突然的期限压力。
检查链接后再点击。 将鼠标悬停在任何链接上以预览目标URL。如果链接文本显示”bankofamerica.com”但URL指向”boa-secure-login.xyz”,请立即关闭该消息。
注意语法和格式错误。 专业组织会对其通信进行校对。拼写错误、奇怪的间距和不一致的徽标表明这是虚假信息。
提示: 在任何地方输入凭证之前,请手动验证URL。不要点击电子邮件中的链接。直接在浏览器中输入地址或使用保存的书签。合法的银行和服务永远不会通过电子邮件或电话要求您的密码。
真正有效的防范最佳实践
仅有检测是不够的。组织和个人需要分层防御来在网络钓鱼尝试到达收件箱之前阻止它们。
启用多因素身份验证(MFA)。 根据微软的数据,MFA可以阻止99.9%的自动化账户破坏攻击。即使攻击者窃取了您的密码,没有第二个因素他们也无法访问您的账户。
实施电子邮件身份验证协议。 为您的域配置SPF、DKIM和DMARC记录。这些协议验证传入的电子邮件确实来自声称的发件人。DMARC单独可以减少高达90%的域名欺骗。
每季度进行一次安全意识培训。 年度培训的频率不足够。每90天培训一次员工的组织在12个月内会看到网络钓鱼点击率从30%下降到5%以下。
使用DNS过滤和网络代理。 这些工具可以实时阻止访问已知的网络钓鱼域名。Cisco Umbrella和Cloudflare Gateway等服务维护着数百万个恶意URL的数据库。
部署网络钓鱼报告按钮。 为员工提供一键式选项来报告可疑电子邮件。这为您的安全团队提供特定于您组织的实时威胁情报。
当攻击成功时的网络钓鱼应对步骤
即使是最好的防御偶尔也会失败。明确的事件响应计划可以限制损害并加快恢复。
立即隔离受影响的账户。 重置被破坏的密码并撤销活跃会话。如果未启用MFA,现在启用它。
在15分钟内通知您的安全团队。 快速报告使响应人员有时间在攻击者基础设施扩展到其他账户之前阻止它。
扫描恶意软件。 如果受害者点击了链接或下载了附件,请运行完整的端点扫描。在扫描完成前将设备与网络隔离。
记录所有内容。 记录网络钓鱼电子邮件标头、URL、时间戳和采取的任何行动。这些证据支持法证调查和监管报告。
与受影响方沟通。 如果客户数据被泄露,请根据您所在司法管辖区的违规通知法律通知受影响的个人。透明度可以保护信任。
关于网络钓鱼的常见问题
鱼叉式网络钓鱼为什么比普通网络钓鱼更危险?
鱼叉式网络钓鱼针对特定个人,使用从社交媒体、公司网站或之前数据泄露中获取的个人详细信息。因为这些信息引用了真实的名字、职位或最近的交易,受害者点击的可能性比通用网络钓鱼邮件高4倍。
VPN能保护我免受网络钓鱼攻击吗?
VPN加密您的互联网流量并隐藏您的IP地址,但它不会过滤网络钓鱼电子邮件或阻止恶意链接。VPN保护传输中的数据。网络钓鱼防御需要电子邮件过滤、MFA和用户意识共同协作。
我如何报告网络钓鱼电子邮件?
将电子邮件转发给您组织的安全团队和reportphishing@apwg.org。在Gmail中,点击三点菜单并选择”报告钓鱼邮件”。在Outlook中,使用”报告邮件”加载项。报告可以帮助电子邮件提供商更新其垃圾邮件过滤器。
组织应该多频繁地进行网络钓鱼模拟?
每月或每季度运行一次模拟网络钓鱼测试。跟踪点击率、报告率和各部门的报告时间。定期练习的团队在第一年内可以减少高达75%的成功网络钓鱼破坏。
最终判决
网络钓鱼仍然是网络安全中最持久的威胁之一。攻击者适应快速,随着任何单一渠道的防御改进,从电子邮件转向短信,再到语音电话。
检测技能、分层技术控制和定期培训形成有效防御的基础。DMARC等电子邮件身份验证协议可以阻止域名欺骗。多因素身份验证使被盗的凭证失效。季度培训可以使整个组织的网络钓鱼意识保持敏锐。
强大的事件响应计划确保当攻击漏过防御时,您的团队能在分钟而非日的时间内控制损害。记录您的响应程序、分配明确的角色,并定期进行演练。
网络钓鱼防御不是一次性项目。它需要持续关注、更新的工具,以及在组织各个级别的安全意识文化。