网络钓鱼和假冒保护手册

网络钓鱼统计数据 19假冒攻击 #1：钓鱼网站为什么攻击者会实施钓鱼攻击？4冒充攻击 #4：高管冒充 17入门评论3PHaaS 20联系我们 25目录冒充攻击 #2：欺诈性社交媒体12简介伪装攻击 #3：恶意应用程序 & 浏览器扩展 7网络钓鱼与身份冒充防护 222网络钓鱼攻14 入门评论那是个坏消息。好消息是，凭借正确的工具和策略，可以最小化您的组织遭受成功钓鱼攻击的风险。这样做从了解如何着手，以及如何防范威胁行为者依赖的社会工程技术来发起钓鱼攻击。公司非常努力地发展品牌，花费巨额资金来赢得客户的信心和信任，但威胁行为者利用了这种来之不易的信任。他们冒充品牌，欺骗普通客户。从某种意义上说，公司持续表现出如此糟糕的反钓鱼攻击记录是可以理解的。人类是一种社会物种，我们大多数人天生倾向于信任他人。当人们或品牌寻求帮助时，我们希望回应并与他们互动。威胁行为者可以利用这种倾向，通过社会工程学手段，诱骗善意的人成为网络防御中最薄弱的环节。确实，即使完成钓鱼邮件防范培训后，受害于钓鱼骗局的受害者比例也可能高达5%。（未培训时为32.4%。）你可能认为企业现在已经相当擅长防范网络钓鱼攻击了。毕竟，这种网络风险已经存在了几十年，从技术上讲，网络钓鱼并不是一种特别复杂的攻击类型。它不需要攻击者入侵复杂的系统或编写自己的软件。他们主要只需要掌握社交工程技术，例如高管冒充。本指南通过讨论四种主要的网络钓鱼模仿类型，然后提供针对每一种的防御建议，来为这些主题提供指导。然而，尽管如此，网络钓鱼攻击仍然普遍存在——实际上情况还在恶化。2023年，网络钓鱼事件的频率激增了1265%，这主要是因为生成式人工智能技术的出现——正如Gartner所指出的那样，这种技术“可以‘促进网络钓鱼和社会工程，从而实现更好的入侵、更高的可信度以及更具破坏性的攻击’”。 网络钓鱼与身份冒用防护 3 它成功的原因有两方面：窃取数据网络钓鱼与身份冒用防护 4部署恶意软件网络钓鱼仍然是前三种最成功的攻击向量之一。窃取资金A. 对于新手威胁行为者来说，设置一个钓鱼活动可能相对简单。通过恶意负载使设备允许威胁行为者继续进行网络攻击。为什么威胁行为者要进行钓鱼攻击？直接从受害者处通过欺骗手段使其付款（例如，支付运输中的包裹税）。例如有效凭证、信用卡号码、银行账户详细信息和其他可用于未来攻击的个人身份信息。网络钓鱼活动的主要目标是赚钱，以下是实现这一目标的三个常见方法：B. 它的设计目的是欺骗你的大脑去信任它——这相对容易实现，尤其是在我们正在经历的繁忙数字生活中。 网络钓鱼与身份冒充防护 5在很多情况下，这些活动通常依赖于多种元素的组合：2. 引发紧迫感 - 为了通过立即行动获得即时收益来降低读者的防御。3. 尚未设置警报 - 由收件人组织安全系统。因为用户希望相信安全系统将检测到所有网络钓鱼邮件。1. 一封看似合法的电子邮件、网站、应用程序或个人资料——因为它看起来像是读者过去会认识的东西，或者包含了只有合法发送者才会有的细节。无论威胁行为者的目标是什么，每个行动都需要设置一个看起来合法的页面、个人资料或应用程序，以诱骗受害者采取期望的行动。 社交媒体资料：恶意应用：网络钓鱼网站：有四种主要的冒充攻击类型：前四种假冒攻击类型执行模仿：现在我们已经涵盖了基础知识，让我们更详细地查看这些模仿类型，并讨论防御它们需要什么。这些网站旨在模仿正规品牌或公司，它们常常要求用户输入他们会在正规网站上使用的访问凭证，或上传敏感的个人敏感信息。当许多人想到网络钓鱼时，他们会想象威胁行为者发送的措辞不当的电子邮件或短信，目的是从目标中窃取敏感信息。通过创建模仿合法组织的社交媒体账号，威胁行为者可以与社交媒体上的不知情目标进行互动。在某些情况下，攻击者会创建整个应用程序或浏览器扩展，旨在征集敏感数据。然而，冒充攻击并不仅限于攻击者向个人大规模发送恶意信息。冒充攻击可能涉及创建整个网站或资料页，旨在诱骗受害者交出敏感数据。这种网络钓鱼冒充行为发生时，攻击者伪装成高管或其他知名人士，通常是试图诱骗员工交出敏感信息。 网络钓鱼与仿冒保护 6 +网络钓鱼网站它们也可能破坏现有的、合法的网站并接管它们的域名。要创建钓鱼网站，威胁行为者要么：C此外，为了使受害者更难区分钓鱼网站和“真实”网站，威胁行为者通常会购买相似域名——也就是说，这些域名与另一家公司的域名相似，但由威胁行为者控制（例如，使用gogle.com而不是google.com）。创建网站并不特别具有挑战性，考虑到威胁行为者可以轻松地从合法网站复制标志、字体和文本。他们甚至可以复制整个源代码。网络钓鱼工具包通常可以在深网和暗网论坛上购买，这使得进入网络钓鱼行业的门槛非常低。从零开始克隆一个合法网站。 V 购买一个钓鱼工具包来帮助他们进行这项事业。 网络钓鱼与身份冒充防护 7 网络钓鱼投递一旦钓鱼网站准备就绪，钓鱼攻击活动的下一步通常是通过发送钓鱼邮件给潜在受害者，以将流量引至恶意网站。攻击者也可以选择通过其他渠道（如恶意广告、社交媒体等）分发恶意链接。为了实现高响应率并降低其信息被屏蔽的可能性，攻击者通常会努力向与钓鱼活动相关的目标用户列表发送信息。或例如在一个定向于特定地区、关键词或用户的恶意广告活动中。例如，攻击者可能不会向大量随机人员发送包含指向仿冒银行网站的钓鱼链接的电子邮件，而是只针对他们知道是银行客户的人员。能够购买邮件列表——无论是从出售此类数据用于营销目的的合法公司购买，还是通过访问暗网上数十亿泄露的电子邮件地址——帮助攻击者筛选目标名单。 网络钓鱼与身份冒用保护 8 网络钓鱼网站的常见例子用户名密码.com登录一个要求用户提供个人详细信息的网页。这些网页通常是合法网页的克隆，其目的是诱骗目标用户分享私人信息。一个目标组织使用的第三方应用程序的登录页面，例如Microsoft 365、Salesforce、SAP等。一个被劫持的子域名，将目标重定向到恶意网页或在其设备上安装恶意软件。如果受害者只看链接中的域名或最先加载的域名，而没有在重定向后再次检查 URL，他们可能不知道自己处于一个钓鱼网站。他们也可以使用这种方法绕过多因素身份验证 (MFA)，因为他们可以在同一个网站上要求二级登录凭证。该钓鱼网站将被设计成与这3个第三方应用的合法登录页面完全一样。如果受害者将他们的访问凭证输入到该网站，攻击者随后就可以使用这些数据登录到公司的实际服务。如果一个知名品牌的网站被克隆，用户通常会自动认为它是一个合法且安全的网站。 网络钓鱼与假冒保护 9*用户名*全名*电话号码*电子邮件地址*地址*国家 登录忘记了你的密码？ 5. 攻击者架设电子邮件发送基础设施6.攻击者启动活动1. 攻击者选择目标4. 攻击者添加恶意内容2. 攻击者购买一个域名在许多情况下，域将被用于发送电子邮件。这在技术上是添加一个“邮件交换”（MX）记录的要求。该DNS记录将允许电子邮件服务器与该电子邮件发送者进行通信，并验证电子邮件的投递将成功。在创建合法页面外观后转到该页面。这可能包括凭证收集工具或凭证收集活动中的登录框，或通过其他方式，例如将恶意负载滴入受害者的机器。典型网络钓鱼攻击时间线那将用于钓鱼基础设施。为了高效率，威胁行为者通常会选择一个与目标组织的主域名相似的域名，或者包含其名称的域名。这是通过创意搜索域名排列组合或使用自动化排列引擎来获取名称并购买该域名来完成的。这通常被称为“拼写错误域名”。看起来像原始网站的 - 文本、CSS、标志，以及任何其他有助于欺骗受害者，让他们相信他们正在访问合法页面的元素。这可以通过他们自己的开发来完成，或者通过使用在深网和暗网上可以购买的钓鱼套件。然后使用从获得的邮件列表中获取的姓名和地址，发送一封精心制作的钓鱼邮件给整个列表。 3. 攻击者填充内容 为恶意域名添加MX记录攻击者选择目标向复制的内容添加恶意内容从原始网站复制内容启动钓鱼活动购买一个 typo squatting 域名 网络钓鱼与仿冒保护 10 3. 攻击者启动活动1. 攻击者选择目标2. 攻击者购买一个域名网络钓鱼与冒充保护 11无论购买目标名单还是组合列表。组合列表是一个包含用户名、电子邮件地址和密码的文本文件。这些列表由网络犯罪分子通过数据泄露或其他安全事件进行整理，然后在暗网出售或泄露，以便网络犯罪分子可以利用它们进行身份盗窃或其他犯罪活动。一个网站接管钓鱼攻击时间线使用列表中的姓名和地址精心制作的一封钓鱼邮件，然后被发送到整个列表。不管是通过在暗网购买的钓鱼攻击工具包，还是如果他们更先进，通过跨站脚本（XSS）。 向现有网站添加恶意内容启动钓鱼活动由合法网页组成攻击者选择目标 社交媒体中的身份伪装攻击NBcorpNBC12-1589URL: https//twitter.comNBcorp__NBC12-1583URL：https//apps.apple.com/us/app/n-b-banking/id864824651?uo=4&at...NBC12-1554URL: https://play.google.com/store/apps/details?id=com.nbco...NBC12-1553URL: https://play.google.com/store/apps/details?id=com.nbc&referr=ut...NBC12-1552URL: https://apps.apple.com/us/app/n-b-india/id148461879?uo=4&at=10...NBC12-1551URL：https//play.google.com/store/apps/details?id=nbcorp_digital.pipion...NBC12-1551URL: https://apps.apple.com/us/app/n-b-look-bhind-the-label/id75553...nbcorporartion...nbcorporartion...NBC12-1538URL: https://play.google.com/store/apps/details?id=cs=nbcorp社交媒体上的品牌仿冒是一种相对容易发起的钓鱼攻击，因为创建社交媒体资料不需要任何技术技能，而且大多数社交媒体平台并不要求用户证明他们有权使用某些标志或其他内容。一旦威胁行为者创建了一个虚假的社交媒体账号，他们就可以利用它直接与公司的客户或关注者互动并索取敏感信息。他们还可以发起诸如恶意广告活动等攻击，这些活动会传播包含指向虚假网站链接的内容。作为一种替代创建自己的钓鱼网站的麻烦，威胁行为者可以创建虚假的社交媒体资料，冒充品牌。通过使用与合法公司相似的账户名称、标志和内容，威胁行为者可以出现在其他社交媒体用户面前，如同该公司的代表。 网络钓鱼与身份冒充保护 12 假爱米丽·卡特消息添加好友市场总监爱米丽·卡特加利福尼亚大学消息添加好友科罗拉多市场总监加利福尼亚大学科罗拉多网络钓鱼与冒充保护 13据网络安全公司eSentire的报告，攻击者利用恶意网站冒充知名品牌，包括AnyDesk、WinSCP、BlackRock、Asana、Concur、《华尔街日报》、Workable和Google Meet。一个名为FIN7的财务动机威胁行为者已被观察到利用恶意谷歌广告冒充合法品牌，以此作为一种手段来交付MSIX安装程序，最终导致NetSupport RAT的部署。 网络钓鱼与身份伪装保护 14恶意应用和浏览器扩展进行的人身攻击在理论上，谷歌和苹果在个人可以将应用程序提供给下载之前设立了护栏和安全检查。但是，当然，这些控制有时会失败，恶意应用程序最终还是会可用。在一个用户习惯不经审查地从应用商店下载应用的世界里，攻击者可以通过创建恶意应用或浏览器扩展，并通过苹果应用商店和谷歌 play 等门户进行分发来利用这一做法。太经常地，用户认为他们可以信任这些渠道中的任何内容，因为应用商店本身是由