“网络钓鱼”一词用来描述那些旨在窃取敏感信息,进而用于非法目的或出售的行为。这类敏感信息可能包括用户名、密码、信用卡信息、银行账户数据以及其他关键数据。攻击者通过伪装成可信的来源,利用诱人的信息诱骗受害者,就像渔夫用诱饵捕鱼一样。
网络钓鱼的运作方式是怎样的?网络钓鱼通常是其他恶意行为的辅助手段,如中间人攻击和跨站脚本攻击。这类攻击通常通过电子邮件或即时消息进行,可分为多个类别。了解多种网络钓鱼攻击方式对于在网络世界中识别它们至关重要。
预付金诈骗这种电子邮件钓鱼攻击因“尼日利亚王子”邮件而广为人知。故事中的尼日利亚王子会承诺给受害者一大笔钱,但要求先支付小额费用。这种诈骗形式已存在超过一百年,最早可追溯到十九世纪后期的“西班牙囚犯”骗局。骗子通过利用受害者的贪婪和同情心来实施诈骗,声称要帮助一位富有的西班牙囚犯逃离监狱,并承诺给予受害者高额报酬。
要避免这种攻击,关键是不对未知的请求做出回应。如果某个请求听起来过于诱人,那么它可能就是骗局。通过简单的网络搜索,通常可以找到有关诈骗的详细信息。
账户停用诈骗攻击者通过制造紧迫感,让受害者误以为其账户即将被停用,从而诱使其交出登录凭证等重要信息。例如,攻击者可能会发送一封看似来自银行等机构的电子邮件,声称如果不迅速采取行动,账户将被停用。接着,攻击者会要求受害者提供账户登录名和密码。在某些高级的攻击中,受害者输入的信息会被引导至合法的银行网站,使人难以察觉。
为了对抗这种攻击,应直接访问相关服务的官方网站,核实是否有紧急的账户状态通知。检查URL栏,确保网站安全也很重要。任何要求提供登录名和密码但不安全的网站都应引起高度怀疑,通常不应使用。
伪造网站诈骗此类诈骗通常与账户停用诈骗等其他诈骗手段结合使用。攻击者创建的网站与受害者常用的合法企业网站(如银行网站)几乎一模一样。当用户通过电子邮件、论坛链接或搜索引擎访问这些网站时,他们可能会误以为这些是合法网站。受害者输入的所有信息都可能被收集用于非法目的。
在互联网早期,这类伪造网站很容易被识别。但现在,这些诈骗网站可能看起来与原始网站完全一致。通过检查浏览器中的URL,通常可以轻松识别伪造网站。如果URL与典型格式不同,或者没有HTTPS保护,那么应将其视为高度可疑。
何为鱼叉式网络钓鱼?鱼叉式网络钓鱼针对特定的个人或公司,因此得名。攻击者通过收集或购买有关特定目标的详细信息,来进行定制化的诈骗。这是目前最有效的网络钓鱼方式,占所有网络钓鱼攻击的90%以上。
何为克隆网络钓鱼?克隆网络钓鱼涉及模仿之前发送的合法电子邮件,修改其中的链接或附件,以诱骗受害者访问恶意网站或打开恶意文件。例如,攻击者可能会发送一封看似来自原始发件人的电子邮件,包含一个与原始附件同名但实则恶意的文件,利用受害者对原始通信的信任来诱导其采取行动。
何为捕鲸诈骗?针对高级管理人员或其他特权用户的攻击通常被称为“捕鲸”诈骗。这类攻击通常针对需要高层管理人员注意的内容,如法院传票或高管事务。这种攻击的一种常见手段是看似来自高管的欺诈电子邮件,要求财务部门立即协助转账。由于员工可能误以为要求的重要性以及发送者的身份,他们可能不会进行必要的核实,从而导致大量资金被转移到攻击者手中。
标签: 区块链
