跳转到主要内容

钓鱼攻击

本文约需 2 分钟阅读

钓鱼是指利用伪装成正规服务或企业的虚假网站和邮件,骗取用户密码、信用卡号、个人信息等的网络攻击手法。该词由「fishing (钓鱼)」和「sophisticated (精巧)」组合而成,源于攻击者用巧妙的手法「钓取」用户。根据 FBI 2024 年的报告,钓鱼在网络犯罪的受害件数中每年都位居首位,滥用生成式 AI 的攻击增加被指出是新的威胁。

历史背景

钓鱼的起源可追溯到 1990 年代中期的 AOL (America Online)。攻击者伪装成 AOL 的工作人员套取用户密码的手法被视为最早期的案例。 2000 年代针对网上银行的钓鱼急剧增加, 2010 年代以后针对云服务和社交账号的攻击成为主流。近年来滥用生成式 AI 后,制作语法完美的钓鱼邮件变得容易,过去靠「不自然的措辞」来辨别的方法已经失效。

钓鱼的种类与比较

一般的钓鱼以不特定多数为目标,但也存在更为高级的变种。鱼叉式钓鱼是针对特定个人或组织的定向攻击,会事先调查收件人的信息,发送可信度很高的邮件。捕鲸式攻击是鱼叉式钓鱼中专门针对企业高管 (CEO 、 CFO 等) 的攻击,源于瞄准「鲸鱼 (whale)」之意。短信钓鱼 (smishing) 是利用 SMS 的钓鱼,语音钓鱼 (vishing) 则是利用电话的手法。攻击的精准度和损失金额往往按一般钓鱼 → 鱼叉式钓鱼 → 捕鲸式攻击的顺序依次升高。

钓鱼防范的基础知识,可以从网络安全防护书籍 (Amazon)中系统地学习。

现场使用案例

“在今早的 CSIRT 会议上,报告了 3 封针对财务部门的钓鱼邮件。发件域名与正规域名仅差一个字符,并附带了伪装成发票 PDF 的恶意软件。”

攻击流程

发送伪造邮件
点击链接
诱导至虚假网站
输入认证信息
窃取并滥用信息

辨别要点

要辨别钓鱼邮件,确认发件地址的域名很重要。常会使用与正规域名相似但略有不同的地址 (例如:amaz0n.com)。此外,「您的账户将被停用」「请在 24 小时内处理」等煽动紧迫感的措辞是典型的钓鱼特征。请在点击前确认链接的 URL,务必核实是否为正规域名。

实务中的对策与陷阱

在安全一线常见的误解是「自己不会被骗」的过度自信。根据社会工程学的研究,即使是安全专家,被精巧的钓鱼欺骗的案例也并不罕见。在组织内,定期的模拟钓鱼演练很有效,据称实施演练的企业其点击率平均下降 60% 以上。通过为每项服务使用不同的随机密码,即使万一在某一项服务上遭遇钓鱼,也能防止损害扩大到其他服务。设置两步验证也是有效的对策。信息安全素养入门书 (Amazon)也有助于提升日常的防御能力。

相关术语

这篇文章对您有帮助吗?

XHatena