鲸钓攻击
本文约需 2 分钟阅读
鲸钓攻击 (Whaling) 是指针对企业高管、董事等组织内拥有高权限人物的钓鱼攻击。其名称源自「瞄准大鱼 (whale)」的含义。与一般的钓鱼攻击相比,它的准备更为周密,攻击者会在调查目标的工作内容和人际关系后,发送极具说服力的伪造邮件。
现场使用案例
“我们遭遇了一起鲸钓攻击,攻击者冒充 CEO 发送邮件,指示财务部长紧急汇款 3,000 万日元。所幸我们在汇款前必须电话核实本人身份的规定发挥了作用,将损失防患于未然。”
鲸钓攻击的手法
冒充合作伙伴 CEO 发出汇款请求、冒充律师索要机密文件、冒充税务当局要求提供信息等都是典型手法。由于经营层事务繁忙,往往会在未充分核实邮件真伪的情况下作出响应。据 FBI 报告,截至 2024 年,BEC (商业邮件诈骗) 造成的损失总额每年已超过 29 亿美元,单起案件的损失有时高达数千万至数亿日元。在 2024-2025 年间,还出现了利用语音合成模仿经营者声音的手法。商业邮件诈骗相关书籍 (Amazon)可从中学习相关案例与对策。
与鱼叉式钓鱼的区别
鱼叉式钓鱼是针对特定个人或组织的定向攻击的总称,而鲸钓攻击则是其中专门锁定经营层及拥有高决策权限人物的攻击。鱼叉式钓鱼的主要目的是附加恶意软件或窃取登录信息,而鲸钓攻击多数情况下会直接要求汇款指示或提供机密信息,单起案件的损失金额要大得多。这是社会工程学对策中应当最优先应对的领域。
对策
请为经营层的账户设置特别强的随机密码,并务必启用多因素认证。重要的是制定规则,对于汇款和提供机密信息,须通过邮件以外的渠道 (电话、当面) 加以确认。面向经营层的安全培训也很有效,定期开展模拟真实攻击邮件演练的企业,其受害率已大幅下降。也请一并确认钓鱼攻击防护的基础知识。社会工程学防护书籍 (Amazon)也很有参考价值。
这篇文章对您有帮助吗?