什麼是網路釣魚攻擊?
網路釣魚攻擊涉及誘騙受害者採取一些有利於攻擊者的動作。這些攻擊的範圍從簡單到複雜,如果具備正確的意識,則有可能發現。
學習目標
閱讀本文後,您將能夠:
- 定義網路釣魚攻擊
- 探索常見的網路釣魚攻擊
- 瞭解防禦網路釣魚的方法
複製文章連結
什麼是網路釣魚攻擊?
「網路釣魚」是指試圖竊取敏感性資訊,以便利用或出售被盜資訊,這通常包括使用者名稱、密碼、信用卡號、銀行帳戶資訊或其他重要資料。攻擊者透過偽裝成信譽良好的訊息來源並提出誘人的請求,引誘受害者以欺騙他們,這類似於漁民使用誘餌捕魚的方式。
網路釣魚是如何進行的?
The most common examples of phishing are used to support other malicious actions, such as on-path attack and cross-site scripting attacks. These attacks typically occur via email or instant message, and can be broken down into a few general categories. It’s useful to become familiar with a few of these different vectors of phishing attacks in order to spot them in the wild.
預付費用詐騙
這種常見的電子郵件釣魚攻擊因為「奈及利亞王子」電子郵件而蔓延開來。處於絕望境地的奈及利亞王子承諾向受害者提供一大筆金錢,但需預先支付少量費用。毫無疑問,支付費用後不會有大筆金錢到手。而有趣的是,這種詐騙已經以不同的形式存在了一百多年,最初為人所知的是十九世紀後期的「西班牙囚犯」騙局。騙子聯繫受害者來利用他們的貪婪和同情,聲稱要偷偷帶出一位富有的西班牙囚犯,囚犯願意以豐厚的報酬感謝受害者,以換取用於賄賂一些獄警所需的金錢。
只要不回應不明人士的請求(必須給錢後才能獲得回報),就能緩解這樣的攻擊(所有形式)。如果聽起來好得難以置信,那麼可能就是詐騙。只需對請求主題或某些文字進行簡單的 Google 搜尋,通常就能找到詐騙的詳細資料。
帳戶停用詐騙
透過為受害者製造緊迫感,使其認為重要帳戶將被停用,攻擊者能夠誘使某些人交出登入認證等重要資訊。例如,攻擊者傳送一封看起來源自銀行等重要機構的電子郵件,並且聲稱,如果受害者不迅速採取動作,其銀行帳戶將被停用。然後,攻擊者索取受害者銀行帳戶的登入名稱和密碼,以便阻止停用。在手段高明的攻擊中,受害者輸入資訊後會被引導到合法的銀行網站,以至於看起來毫無不妥。
要應對這種類型的攻擊,只需直接相關服務的網站,並查看合法提供者是否向使用者通知了相同的緊急帳戶狀態。檢查 URL 列並確保網站安全也有用處。如果網站要求提供登入名稱和密碼,卻又不是安全網站,則應當對其保持高度懷疑,且一律不應使用。
網站偽造詐騙
這種類型的詐騙通常與其他詐騙一起出現,例如帳戶停用詐騙。在這種攻擊中,攻擊者會建立一個與受害者所用的合法企業網站(例如銀行網站)基本一樣的網站。當使用者透過任何一種途徑(不論是電子郵件網路釣魚嘗試、論壇內超連結還是搜尋引擎)存取頁面時,受害者便會到達這個網站,並且以為這是合法網站而非欺詐網站。受害者輸入的所有資訊都會被收集以用於出售或其他惡意用途。
在網際網路的早期,由於頁面粗製濫造,這些贗品很容易被識別。如今,欺詐網站可能看起來像是原始網站的完美翻版。透過在 Web 瀏覽器中校驗 URL,通常很容易識別欺詐。如果 URL 與典型的 URL 不同,則應視為高度可疑。如果列出的不是安全頁面且 HTTPS 沒有開啟,這是一個危險信號,基本上可以確定網站已經受損或者發生了網路釣魚攻擊。
什麼是魚叉式網路釣魚?
This type of phishing is directed at specific individuals or companies, hence the term spear phishing. By gathering details or buying information about a particular target, an attacker is able to mount a personalized scam. This is currently the most effective type of phishing, and accounts for over 90% of the attacks.
什麼是克隆網路釣魚?
克隆網路釣魚是指模仿以前傳遞的合法電子郵件並修改其連結或附件,以誘騙受害者開啟惡意網站或檔案。例如,攻擊者取一封電子郵件並附加一個檔案名稱與原始附加檔案相同的惡意檔案,再使用看似來自原始發件人的欺騙性電子郵件地址重新傳送該電子郵件,從而利用受害者對原始通訊的信任,誘使其採取動作。
什麼是網路捕鯨?
對於專門針對企業內資深主管或其他特權使用者的攻擊,通常使用網路捕鯨一詞。這種攻擊通常以可能需要受害者註意的內容為目標,例如法院傳票或其他高管事務。
這種攻擊還有一種常見手段,即看似來自高管的網路捕鯨欺詐電子郵件。一個常見的範例是,CEO 傳送一份電子郵件給財務部的某人,要求他們立即協助轉賬。低級員工有時會被矇騙,過於重視要求的重要性及發出要求的人,而忽略再次檢查要求真實性的必要,導致員工向攻擊者轉移大量資金。
Cloudflare 如何幫助組織防禦網路釣魚攻擊?
Phishing can occur over a variety of attack vectors, but one of the biggest is email. Many email providers automatically try to block phishing emails, but sometimes they still get through to users, making email security an important concern.
Cloudflare Area 1 電子郵件安全提供進階網路釣魚防護,爬行網際網路並調查網路釣魚基礎結構,以提前識別網路釣魚活動。瞭解 Cloudflare Area 1 的運作原理。