什麼是魚叉式網路釣魚?

一些網路釣魚詐騙會傳送給數百萬人,希望其中有人會上鉤,但魚叉式網路釣魚攻擊只針對單個目標,並且可能非常有說服力。

學習目標

閱讀本文後,您將能夠:

  • 定義魚叉式網路釣魚
  • 說明網路釣魚、魚叉式網路釣魚和網路捕鯨之間的區別
  • 概述阻止魚叉式網路釣魚和網路捕鯨的策略

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是魚叉式網路釣魚?

網路釣魚是一個廣泛的詞彙,表示旨在欺騙受害者分享敏感性資訊的攻擊,而魚叉式網路釣魚是一種針對單一目標的網路釣魚攻擊,目標可以是個人、組織或企業。

魚叉式網路釣魚攻擊特別有效,因為攻擊者可以使用有關受害者的資訊(通常是在網上找到的公開資訊),來製造一個令人信服的詭計。

魚叉式網路釣魚攻擊是什麼樣的?

一種常見的魚叉式網路釣魚策略是讓攻擊者偽裝成處於權威地位的人,因為人們更有可能對權威人物做出回應。

下面是一個範例:

Joe 是一位名叫 Mary 的 CEO 的執行助理。一天,Mary 在國外度假,Joe 收到了一封她發來的緊急電子郵件。郵件稱她的行李和手機被盜。她說她沒有錢或護照,需要他盡快傳送她的 PayPal 認證,以便她可以預訂酒店並購買回家的航班。Joe 可能會從他的雇主那裡看到這條令人痛心的訊息,並立即傳送所要求的資訊。

這種來自上級的「我遇到了麻煩,需要錢」的請求是一種常見的魚叉式網路釣魚腳本。攻擊者可能假冒 Mary 的電子郵箱,並將電子郵件傳送到 Joe 的姓名和姓名首字母的數十種不同組合,以期找到正確的。攻擊者還可能透過在 Twitter 上關注 Mary,瞭解了 Mary 的假期計劃。結合所有這些工具,攻擊者可以設計出一個非常有說服力的騙局。

一個值得注意的現實範例發生在 2016 年,當時攻擊者冒充 Snapchat 的 CEO,並成功說服員工交出機密的工資單資訊。

魚叉式網路釣魚攻擊還可以利用資料外洩的資訊。另一個範例是:

Steve 在一家大型線上零售商處購買了一台電腦,但幾週後該零售商發生了資料外洩事件。儘管信用卡號和密碼等敏感性資料受到雜湊保護,但客戶電子郵件地址和訂單歷程記錄卻被洩露。

幾天后,Steve 收到他的新電腦製造商發來的一封電子郵件,宣佈他購買的型號正在被召回,並提供了一個退款連結。該連結將 Steve 帶到製造商網站的假冒版本,並為 Steve 提供了一張表單,讓 Steve 輸入他的信用卡號以進行退款。攻擊者使用一些相當無害的資料來獲得 Steve 的信任並誘騙他交出他的財務資訊。

魚叉式網路釣魚和網路捕鯨有什麼區別?

網路捕鯨是一種魚叉式網路釣魚攻擊,以非常知名的受害者為目標,通常是公司的高管或名人。網路捕鯨攻擊往往更加複雜,在許多情況下,攻擊者會首先對較小的目標(例如「鯨魚」的員工)進行魚叉式網路釣魚攻擊,以獲取接近最終受害者的資訊。

例如:

在度假期間,CEO Mary 收到她在 IT 團隊中認識的某個人的電子郵件或電話,讓她知道他們正在遭受網路攻擊,並請求存取她的工作電腦和帳戶,以確保公司資料的安全。攻擊者可能會入侵她的 IT 團隊以獲取 Mary 的信任,以期說服她交出認證。

如何防禦魚叉式網路釣魚和網路捕鯨

由於魚叉式網路釣魚涉及社交工程,因此沒有萬無一失的方法來防範此類攻擊。然而,可以採取一些預防措施來防止和減少魚叉式網路釣魚的嘗試。其中包括:

  • 切勿透過電話、聊天或電子郵件分享財務資訊、密碼或任何其他敏感性資料。
  • 不要點擊電子郵件中的連結,即使它們看上去來自受信任的來源。複製並貼上或手動輸入 URL 有助於防止 Cross-site scripting 攻擊。
  • 在所有重要帳戶上啟用雙重驗證,這樣,所盜用的認證就不足以登入帳戶。
  • 啟用 Zero Trust 安全性原則,以確保入侵者沒有對網路的開放存取權限。