有研究人员发表的报告声明:电子邮件中的网络钓鱼骗局已经变得越来越难以阻止,钓鱼者对诱饵不断的完善和创新,使网络钓鱼更逼真从而对用户更具吸引力和说服力。虽然大家对钓鱼网络越来越警惕,但还是不能阻挡各种各样的钓鱼诈骗攻击。网络钓鱼攻击依旧通过各种方式,来骗取个人用户和企业的信息。
电子邮件中的网络钓鱼骗局已经到了普遍存在的地步。用户现在也习惯下意识地点击查看网络钓鱼电子邮件,即便他们明知不应该这么做。这就是攻击者利用人性来实施攻击活动的可怕之处!
人们总是充满好奇心和同情心,渴望通过自己的力量来帮助有需要的人,而这两种品质正是他们易受网络钓鱼攻击的根源所在。以下是一些最常见的网络钓鱼,让我们一起来看看吧!
1. 紧急求助
当攻击者不希望目标犹豫不决时,他们就会在主题中传达一种紧迫感,因为他们希望你能够快速做出决定。
也许该钓鱼邮件不会直接说“紧急求助”,而是选择言语之间存在类似的暗示。
一般都会在主题行中言及‘紧急’字眼的未知邮件。因为真的紧急的事情可以通过很多其他更高效的途径来解决,例如打电话。
2. 发票
在TOP10网络钓鱼邮件主题中,“发票”一词就独占6大主题,这也说明在考虑网络钓鱼主题时,财务动机仍然处于主导地位。钓鱼者都试图用“发票”一词作为主题来吸引他们的目标。金钱是一个强大的动力,攻击者很清楚地知道这一点,并且正在利用它来击垮人们的心理防线。
需要注意的是,不要以为网络钓鱼欺诈只会发生在没有上网经验的人身上,即使是互联网公司也会遭到电汇诈骗,而且诈骗数额不小。谷歌和FACEBOOK的会计部门电脑上由于被安装了恶意软件,通过查阅它们的转账记录瞄准了一个开发商,开了数百万美元的发票。
3. 银行通知
针对公司高管的经济动机网络钓鱼攻击,往往需要钓鱼者付出更多的努力和研究,以及更为严谨的措辞和语法。针对高级员工实施网络钓鱼活动的攻击者,会希望其钓鱼邮件信息尽可能真实。他们可能会向行政助理发送包含特定银行名称或“紧急协助”信号的欺诈性电子邮件。他们会先对目标机构所选择的银行进行研究,并尝试模仿银行发布的通知信息。
4. 账户验证
这一主题与直接的经济收益关系不大,但与知识产权盗窃存在很大关联。这种类型的攻击通常会进行凭证钓鱼(CREDENTIAL PHISHING),为了在目标网络内获取立足点。许多线上服务都需要有凭证作为确认服务真实性的基础,但是凭证钓鱼就会企图获取线上服务的凭证,因此,凭证一旦遭窃,攻击者就可以直接获取所需的各类信息,包括使用者的账号、密码等等。
5. 拷贝或文档拷贝
虽然恶意链接在钓鱼电子邮件中日益普遍,但附件也仍然很受欢迎,且十分有效,尤其是与发票、付款通知和声明相关的电子邮件,或者是在线订购和结算相关的警报中。这符合钓鱼者提高他们对业务环境的理解的趋势。因为如果他们知道员工经常发送文件的事实,就会知道恶意电子表格或WORD文件形式的附件是合理的。
6. 行动请求
在电子邮件中采用“我们需要您这样做”相关的主题,往往能够成功地诱使目标完成攻击者需要他们完成的任何事情。调查数据也指出,在面对与“行动请求”相关的主题时,人们实际上确实是这样做的——在与“行动请求”相关的钓鱼邮件中,恶意链接的点击率高达约40%,钓鱼者会将受害者重定向到虚假的人力资源网站,以窃取其登录凭证。受害者在被骗后会悔悟称,“我知道我当时不应该那样做。”
天威诚信提醒用户应警惕钓鱼邮件:
●避免开启来路不明的电子邮件及文件,安装杀毒软件并及时升级病毒知识库和操作系统补丁,将敏感信息输入隐私保护,打开个人防火墙;
●对要求重新输入账号信息,否则将停掉信用卡账号之类的邮件不予理睬;
●尤为重要的是不要回复或者点击邮件的链接,如果你想核实电子邮件的信息,使用电话,而非鼠标;若想访问某个公司的网站,使用浏览器直接访问,而非点击邮件中的链接;
●留意网址–多数合法网站的网址相对较短,通常以.COM或者.GOV结尾,仿冒网站的地址通常较长,只是在其中包括合法的企业名字(甚至根本不包含);
●不同账号使用不同口令,不要使用同样的口令;
●不要使用很简单的口令,(如000000、生日等);
天威诚信是依据《中华人民共和国电子签名法》,由工业和信息化部许可设立的电子认证服务机构,本着“权威可信、共生共赢、开放共享”的原则,18年来在互联网安全行业不竭余力的努力着。从SSL证书购买咨询、证书申请、安装部署再到售后服务,天威诚信能够提供7*24小时的在线技术支持和一对一的本地化专属服务,为企业提供可行性解决方案。SSL证书可实现网站HTTPS化,身份认证、信息加密,防钓鱼、防窃取、防篡改、防流量劫持,保证用户数据安全,提升企业品牌可信度!
