网络罪犯以进行大规模攻击闻名,他们袭击尽可能多的无辜受害者。基本上,每个人都收到过来自尼日利亚王子、外国银行家或某个绝症富婆的电子邮件,承诺你只需举手之劳就有丰厚回报。网络钓鱼邮件简直创意无限,甚至还有承诺驻颜丹和爱情生活滋润的。当然,要实现这些,你只需要交出你的信用卡即可。
最近一段时间,网络罪犯的攻击更倾向于“企业级”。类似B2B销售模式,他们盯上精选目标,意图以极度个性化的复杂技术,获得指数级的有效载荷。这种被称为鱼叉式网络钓鱼的针对性攻击,会冒充公司雇员、同事、你的签约银行或流行网站服务,对受害者行漏洞利用活动。鱼叉式网络钓鱼一直在稳步上升。据FBI透露,这类社会工程方法已被证明是极为有利可图的。更糟糕的是,鱼叉式网络钓鱼神出鬼没,用传统安全解决方案难以防止。
社会工程最新的进化发展,涉及到多个预设步骤。网络罪犯是狩猎受害者,而不是突兀地给目标公司高管发送电汇欺诈邮件。他们会先从管理员邮件账户或低级员工,渗透进目标公司,然后开展侦察,等待最恰当的时机再从被黑邮件账户向高管发出诱骗邮件。
此类鱼叉式网络钓鱼攻击中常用的步骤如下,阻止攻击者的解决方案也一并奉上。
攻击步骤 1:渗透
大多数网络钓鱼尝试,只要经过网络安全培训的人(高管和IT团队等),都可以一眼看出。这些邮件的地址往往很奇怪,要求很大胆,且遍布语法错误,通常都是一删了之。然而,特别难以识别的个性化攻击最近有了明显增加,尤其是那些没有经过培训的人,通常都会上钩。
很多时候,此类攻击的唯一缺陷,就是当你鼠标悬停到邮件中恶意链接之上时,会显示出真实的恶意地址。经过良好培训的人可以发现这一缺陷,但普通员工不行。
为什么网络罪犯会首先找寻容易下手的目标,原因正在于此。中层销售、市场营销、客户支持和运营团队成员,就是最普遍的目标。该初始攻击,旨在盗取用户名和口令。攻击者一旦操控了中层人员,只要这些人没启用多因子身份验证(很多企业都没开启),他们就能登录账户。
攻击步骤 2:侦察
这一阶段,网络罪犯一般会监视被盗账户,研究其中邮件往来,收集该公司运作机制。大多数时候,攻击者会设置该账户的转发规则,防止频繁登录。对受害者邮件流量的分析,可使攻击者更加了解该公司情况:谁决策,谁负责或影响财务交易,拿到人力资源信息等等。这一步也为攻击者打开了监视受害公司与合作伙伴、客户和供应商之间通信的大门。
这一步获取到的信息,会被用于鱼叉式网络钓鱼攻击的最后一步。
攻击步骤 3:抽取价值
网络罪犯利用上一步监听到的信息,发起针对性极强的鱼叉式网络钓鱼攻击。他们通常会在客户正准备支付的时候,发出虚假银行账户信息,还会诱骗雇员发送人力资源信息、汇款,或指示受害者点击恶意链接来收集额外的凭证和口令。由于发自合法(也就是被黑)账户,比如某同事的邮箱,这些邮件看起来很正常。前期侦察过程,也让攻击者可以精确模仿发家的语气和文风。
于是,你该怎样防住攻击者?
谢天谢地,公司企业还有一些新希望和耳熟能详的方法,可以用来挫败网络罪犯的阴谋——多层防御策略。
鱼叉式网络钓鱼的末路
对抗鱼叉式网络钓鱼,公司企业应做到以下3点。两个甚为明显的方面,是用户意识及培训,还有多因子身份验证。最后一个,也是拦截此类攻击的最新技术,是实时分析与人工智能。人工智能为终结当今鱼叉式网络钓鱼提供了最强的希望。
防御策略1. AI防护
用人工智能抵挡鱼叉式网络钓鱼听起来有点科幻,遥不可及,但实际上当前市场已有此类产品,各种规模的企业都可用,因为每家公司都是潜在目标。
AI可以学习并分析给定公司特有的通信模式,标记不符合基线的行为。AI的本质,在于会随着时间流逝变得更强大、更聪明、更有效,可实时隔离攻击,并识别出企业内高风险人员。
比如说,AI可自动分类攻击第一阶段中的邮件,将之标记为鱼叉式网络钓鱼,甚至能检测出被黑账户中的异常活动,从而封阻掉第2和第3步攻击。AI还可以阻止域名欺骗和授权行为,以防攻击者冒充公司员工欺骗客户、合作伙伴和供应商以盗取凭证,染指他们的账户。
防御策略2. 身份验证
公司企业绝对有必要实现多因子身份验证(MFA)。上述攻击中,如果多因子身份验证启用,罪犯就无法登录账户。用于多因子身份验证的有效方法很多,包括短信验证码或手机呼叫、加密狗、生物特征识别指纹、视网膜扫描,甚至人脸识别。
防御策略3. 针对性用户培训
雇员应接受经常性的培训和测试,增加他们对最新最常见攻击的认知。安排出于训练目的的模拟攻击,是防止入侵和提升雇员警惕性的最有效方法。对负责财务交易的员工或高风险雇员,有必要对他们进行欺诈模拟测试以评估他们的安全意识。最重要的是,培训应在全公司方位展开,而不应仅针对高管。
相关阅读
用AI检测鱼叉式网络钓鱼攻击
七个最容易被网络钓鱼盯上的部门
最新调查揭示:网络钓鱼市场盈利丰厚生机蓬勃
