谷歌估計,每年有超過 1230 萬人成為網絡釣魚的受害者。儘管第一次網絡釣魚攻擊是在上世紀末記錄的,並且傳統方法逐漸退居幕後,但這種類型的網絡欺詐仍然對個人和公司構成相當嚴重的危險。
為了最大限度地降低成為網絡釣魚受害者的風險,您應該詳細了解這種類型的網絡欺詐。
什麼是網絡釣魚?
在絕大多數情況下,網絡釣魚是代表相當知名的大規模公司分發信件。此類消息通常包含一個指向某個站點的鏈接,經過初步粗略檢查,該鏈接與真實站點沒有什麼不同。通過在適當的字段中輸入機密信息(詐騙者使用各種技巧實現),用戶可以讓網絡犯罪分子訪問他們的帳戶。
一切是如何開始的
第一次提到與 AOL 相關的網絡釣魚出現在 1996 年。
欺詐者冒充一家媒體公司的員工,要求用戶向他們提供帳戶密碼,並在獲得訪問權限後使用密碼發送垃圾郵件。 2000 年代初開始向支付系統分發,2006 年網絡詐騙者進入 MySpace,竊取用戶註冊數據。
網絡釣魚目標
考慮到網絡釣魚攻擊可以針對個人和公司進行,詐騙者追求的目標也不同。
因此,在第一種情況下,目標是訪問登錄名和密碼,以及銀行服務用戶的帳號,以及支付系統和社交網絡。此外,網絡釣魚攻擊通常用於在潛在受害者的計算機上安裝惡意軟件。
從技術角度來看,兌現詐騙者已經獲得的賬戶是一個相當複雜的過程,而且要抓住參與此類操作的人要容易得多。
因此,在收到機密信息後,在絕大多數情況下,欺詐者只是使用經過驗證的從賬戶中提取資金的方法將其出售給其他人。如果對公司進行網絡釣魚攻擊,首要目標是訪問其中一名員工的帳戶,以便隨後對整個公司進行攻擊。
網絡釣魚方法和方案
社會工程方法
在這種情況下,騙子冒充知名公司的員工,告知潛在受害者有必要更新或提供個人數據,這通常以系統故障或丟失來解釋。
該方案利用人們通常對重大事件做出反應的事實,網絡釣魚攻擊的組織者試圖盡可能地激髮用戶的興趣,迫使他立即採取詐騙者需要的行動。人們普遍認為,標題中帶有“恢復對帳戶的訪問權限,請點擊鏈接…”的信件會吸引用戶的注意力,迫使他點擊。
簡單的欺騙
這種騙子代表知名公司發送電子郵件的方案最為常見,該方案允許在一個小時內發送數百萬封垃圾郵件。為了竊取個人數據,網絡釣魚網站被創建,乍一看,與真實網站沒有區別。在絕大多數情況下,所使用的域與真實的域相差一個字符。
魚叉式網絡釣魚
在這種情況下,攻擊不是大規模的,而是針對特定的人進行的。通常,此類方案用於繞過公司的保護並進行有針對性的攻擊。網絡詐騙者初步研究使用社交網絡以及其他服務的潛在受害者,從而調整消息,使其更具說服力。
“捕鯨”
類似的方法被用於對高級管理人員和公司高管的網絡釣魚攻擊,為了最大限度地了解潛在受害者的個人素質,詐騙者花費大量時間試圖找到最合適的竊取方式機密信息。
病毒分佈
通常,網絡釣魚攻擊不是用來竊取個人數據,而是用來傷害特定人群。為此,網絡釣魚郵件中插入一個鏈接,單擊該鏈接會將惡意程序下載到受害者的計算機,您可以通過該鏈接完全控制用戶的計算機。
農業
使用這種相當新的方法,詐騙者使用官方網站獲取個人數據。這種網絡釣魚,當公司在 DNS 服務器上的官方網站的數字地址被欺騙時,用戶會被自動重定向到一個假網站,這比傳統方法要危險得多,因為在這種情況下,欺騙是根本看不到的。 Ebay 和 PayPal 已經遭受過這樣的網絡釣魚計劃。
釣魚
在這種情況下,使用電話通信,並且為了消除“問題”而必須撥打的電話號碼本身在通知性質的信件中註明。此外,詐騙者已經直接在電話交談過程中要求用戶提供身份數據,以便最快速地解決問題。
如何保護自己免受網絡釣魚
首先,您應該學習如何自己計算網絡釣魚,並且當您收到要求您“驗證”您的帳戶的信件時,請立即聯繫公司以驗證消息。
您應該在瀏覽器中手動輸入公司的 URL,而不是使用超鏈接。來自真實服務的絕大多數消息都包含某些初學者網絡釣魚者無法獲得的信息,例如名稱或帳戶的最後一位數字,儘管這只會稍微降低風險。值得注意的是,指向網絡釣魚站點的鏈接也可能包含在來自帳戶已被黑客入侵的朋友的消息中。
降低風險的技術方法
許多瀏覽器已經警告互聯網用戶注意網絡釣魚威脅,為此他們維護自己的此類站點列表。郵件服務也在戰鬥,改進垃圾郵件過濾器和分析網絡釣魚電子郵件。大公司為了最大程度地降低風險,使授權程序複雜化並改善對個人數據的保護。
代表 JSC ER-Telecom Holding 的信息安全專家 Mikhail Tereshkov 提供了幾種相當簡單但有效的網絡釣魚防護方法。您需要特別注意該站點是否有看起來像https的安全證書,並且還要更改路由器的默認密碼。購物時最好不要使用公共Wi-Fi,在不熟悉的網店付款時,應多收集相關信息。
輸出
考慮到網絡攻擊早已進入我們的生活,對網絡犯罪分子進行有效防護已成為企業開展電子商務服務的主要任務之一,但普通用戶不應忘記採取措施將陷入網絡的風險降至最低。罪犯的陷阱。
