网络钓鱼攻击常用手法的防护建议

2022-05-30陆英

计算机与网络 2022年13期

陆英

网络钓鱼攻击是最常见、最容易让受害者中招的网络犯罪之一，随着网络技术的不断发展，攻击者的伪装手段也变得愈发狡诈，攻击频次也在增高，各种新奇的攻击方式层出不穷。有些攻击者可通过网络钓鱼窃取企业内部的关键信息，给企业组织的业务安全、信息安全防护带来了巨大的威胁，如何识别攻击者的各种诈骗花招，保护企业和员工的关键信息安全成为大多数企业的重要任务。

防止网络钓鱼的最基本原则是保持警惕，在点击任何链接并输入账户详细信息之前，应仔细确认其真实性，避免陷入网络钓鱼的陷阱。同时，还应该了解网络钓鱼手法的各种变化，找到相应的预防手段。以下汇总了目前较为常见的9种网络钓鱼攻击手段，并给出了相应的防范建议。

电子邮件钓鱼

电子邮件钓鱼又名欺骗性网络钓鱼，是最常见的网络钓鱼攻击之一，攻击者通常以知名企业或品牌的名义向潜在受害者发送电子邮件。

这些邮件通常附有危险链接，受害者点击链接后，会被诱骗填写登录信息或将恶意软件安装到受害者计算机上。这些网站常常看起来很专业，与其所冒充企业的实际品牌和外观效果几乎一样，这些邮件内容也往往给人以真实感和紧迫感，促使受害者来不及细想就仓促行动。受害者一旦中招，登录信息就已经泄露，攻击者会借此去访问受害者的身份和银行信息，进而牟取暴利。

预防方法：

防止电子邮件钓鱼的最佳方法是了解这种攻击手段的关键特征，进而及时识别并避开这些钓鱼陷阱。

电子邮件网络钓鱼最明显的伪装纰漏是邮件内容信息在拼写、标点和语法上存在错误，这类邮件中通常会有很多拼写错误和域名不正确的邮箱地址。如果企业内部发现收到的邮件内容存在这些可疑之处，就要引起注意，叮嘱员工避免点击任何链接，对于以商品促销或折扣为主题的邮件内容更要注意。

这类钓鱼邮件的另一个特征是附加链接很短。因为一般短链接会被攻击者用于躲避安全电子邮件网关检测，因此这也是证明链接不安全的信号。

鱼叉式网络钓鱼

鱼叉式网络钓鱼的特征是攻击者不会海量地向外发布钓鱼邮件，他们在钓鱼前会通过开源情报（OSINT）或其他违法途径收集受害者的信息，然后有针对性地向某一企业内指定的具体对象发送恶意邮件。例如，如果攻击者的目标是一家在线课程教育企业，那他们可能会对该企业的网站课程开发者发送针对性邮件。

因此，鱼叉式网络钓鱼的电子邮件往往更加“定制化”，它们使用全名、办公电话号码、甚至工作职能来欺骗受害者，诱骗受害者以为发件人与自己是同行。

预防方法：

为了识别并抵御鱼叉式网络钓鱼，企业组织应采取以下策略：检查企业组织定向到Google Suite或Dropbox等共享驱动器上的链接是否正确，因为攻击者可能会通过鱼叉式钓鱼攻击将这些链接重定向到恶意网站。

此外，鱼叉式钓鱼邮件中常常要求受害者输入用户名和密码来访问文档，进而获取受害者在企业中的登录信息。因此员工在日常工作中要注意一些可疑的邮件，企业内部不同的部门同事如果通过邮件向你提出了奇怪要求或要求你做一些与工作无关的事，就应该三思而后行。

语音电话钓鱼

攻击者会利用受害者的电话号码直接与其沟通，他们通常会冒充政府部门、银行等合法机构的工作人员，通过播放自动语音消息或直接语音要求受害者采取行动（登录恶意系统、回复验证码等）的方式，诱骗受害者泄露敏感信息，而且这些攻击者往往会瞄准时机，在企业内部最忙、员工压力最大的时候拨打电话，受害者在高度的紧迫感下常常仓促行事，受到欺骗。

预防方法：

预防语音电话钓鱼攻击可以从这些方面出发，首先，企业员工要格外注意陌生的来电ID、不常见归属地或被标记的号码。此外，在工作特别忙碌的季节、工作量特别大的时段接到电话尤其要警惕。最后，当来电方要求完成某项操作，且该操作涉及到个人敏感信息时，更要格外警惕。