什么是电话钓鱼?| 防止电话钓鱼攻击

电话钓鱼,亦称语音网络钓鱼,是一种通过电话进行的网络钓鱼攻击。详细了解什么是电话钓鱼攻击、如何防止它们以及它们如何适应更大的社会工程背景。

学习目标

阅读本文后,您将能够:

  • 定义电话钓鱼攻击
  • 根据其共同特征识别电话钓鱼攻击
  • 了解电话钓鱼的预防策略
  • 了解电话钓鱼如何融入更广泛的威胁环境中

复制文章链接

什么是电话钓鱼攻击?

电话钓鱼是一种通过电话诱骗人们分享敏感信息的做法。电话钓鱼受害者被引导相信他们正在与受信任的实体分享敏感信息,例如税务机关、他们的雇主、他们使用的航空公司或他们认识的人。电话钓鱼也称为“语音网络钓鱼”。

网络钓鱼是通过伪装成有信誉的一方来试图窃取敏感信息的行为的总称。网络钓鱼有多种形式,包括电子邮件网络钓鱼(有时仅称为“网络钓鱼”)、语音网络钓鱼或电话钓鱼、捕鲸和鱼叉式网络钓鱼

虽然电话钓鱼攻击更难检测或监控,但重要的是要了解攻击者经常试图同时通过不同的媒介获取信息。因此,电子邮件网络钓鱼攻击的显著增加可能表明会出现语音网络钓鱼尝试。组织应该对员工进行此类事件的教育,因为警觉的员工是抵御这些攻击的最佳屏障。

电话钓鱼和社会工程学有什么关系?

电话钓鱼是一种社会工程学形式。攻击者说服他们的受害者做一些他们本不会做的事情,例如在不请自来的电话中分享信用卡详细信息。攻击者玩弄基本的人类情感,例如贪婪、恐惧或帮助他人的心态。攻击者可以在紧急情况下假装是朋友,并提示受害者转账。或者,他们可能会冒充雇主 IT 部门的成员,以获得访问公司网络的用户名和密码。

电话钓鱼攻击如何运作?

电话钓鱼攻击可能采取多种形式,但它们通常涉及以下一些策略:

  • 意外元素:来电者可能声称自己是通常不会打电话的组织的一部分,例如税务机关、企业或国家彩票。他们还可以声称是受害者熟悉的人,在不寻常的情况下打电话。
  • 紧迫感和恐惧感:来电者可能暗示或威胁如果不迅速采取某种行动将产生负面后果。这些后果可能包括惩罚——例如,如果不立即偿还税款,就有可能被逮捕;或者错过机会——例如,如果不立即分享个人信息,就无法获得彩票中奖的机会。
  • 要求提供信息:来电者会要求提供个人或敏感信息,如全名、地址、出生日期、护照号码或信用卡详细信息。攻击者可能已经拥有一些信息,并试图补充完整或验证这些信息。
  • 时效性元素:电话钓鱼攻击通常与时事有关。例如,在新冠肺炎疫情初期,攻击者打电话给刚开始在家工作的人员并声称是其 IT 部门成员的员工。他们要求提供用户名和密码,以便能够授予对公司应用程序和数据的访问权限。这些攻击在全球都有发生,涉及各种组织。政府机构和非政府组织以及制造公司、软件开发商和航空公司都成为了目标。

如何避免成为电话钓鱼的受害者

个人可以遵循一些做法来保护自己免受网络钓鱼的侵害,包括:

  • 对任何通过电话索取金钱或敏感信息的人保持警惕:(无论是个人信息还是收件人所属组织的信息)。大多数官方机构不会通过电话要求提供此类信息。
  • 意识到在电话中建立虚假身份的技术可能性:使用 VoIP 技术 ,伪造电话号码或使用特定区域号码并不难。因此,不应相信基于来电���示或区号的来电。
  • 对紧迫性持怀疑态度:明智的做法是,不要相信任何似乎制造紧迫感或鼓励立即行动的人。相反,要保持冷静,考虑可能的后果。
  • 不默认相信来电者的身份:通过搜索该公司公开的电话号码并给他们打电话来验证来电者的身份,这一点非常重要。如果来电者提供回电号码,则不应使用,因为这可能是骗局的一部分。如果打电话的人声称自己是朋友或家人,请通过其他通信方式与此人联系,或联系共同好友,以核实其说法。

如何保护组织免受电话钓鱼攻击

公司可以在文化和技术层面采取一些措施来保护自己免受电话钓鱼攻击。

教育���对员工进行关于当前电话钓鱼趋势以及其一般特征的教育非常重要。这样一来,员工就能根据他们对特定场景的了解发现攻击,或者在他们觉得存在电话钓鱼攻击的特征时谨慎行事。如果领导者提醒员工在哪些情况下会或不会与他们联系,也会很有帮助。例如,首席执行官不会给员工打电话,要求他们提供私人信息或进行银行转账。尽管这看起来很明显,但首席执行官定期传达这一点仍然是有用的。

文化:组织应努力营造一种氛围,让其员工能够对报告自己成为电话钓鱼攻击的受害者感到放心。理想的情况是,他们有一个处理此类案件的程序,确保员工了解该程序,并创造一种信任的氛围,使员工不会担心因为及时报告事件而受到影响。

技术:通过电话进行的电话钓鱼攻击比电子邮件中的网络钓鱼攻击更难发现和预防。然而,可���采取某些步骤进行损害控制和监控。

  • 多因素验证:如果访问内部系统和信息需要两个或更多的验证因素,那么攻击者就很难仅仅通过电话窃取登录凭证来获得访问权。
  • 最低权限原则:如果员工成为电话钓鱼攻击的受害者,他们的设备被入侵了,确保将损失尽可能减至最少。确保员工只能访问他们的角色所需的系统和信息是关键。零信任网络访问技术,如 Cloudflare 的 Zero Trust 服务 ,可以帮助管理这种访问。
  • 访问日志:建立检测和监控异常活动的系统非常重要。零信任技术也可以帮助企业做到这一点。
  • 将电子邮件安全作为一个感应器:攻击者通常同时使用多种形式的社会工程学。使用 Cloudflare 的电子邮件安全技术,能够阻止电子邮件网络钓鱼企图,并提醒组织此类尝试的增加。电子邮件网络钓鱼的增加往往意味着语音网络钓鱼的增加。