有一个误解,认为诈骗电子邮件是一种大规模发送的邮件,其中,黑客将网络广泛传播,然后将非个人化的邮件分散给成百上千的收件人。尽管这些电子邮件确实存在,但大多数社会工程师或威胁参与者根本不这样做。当针对目标进行“网络钓鱼”时,专业的社会工程师专注于一个单独的流氓,而不是整个池塘,这个方法就叫作:鱼叉式网络钓鱼。
证明在数据中,网络安全公司东方联盟的研究表明: “高达91%的网络攻击以及由此造成的数据泄露源于鱼叉式网络钓鱼电子邮件。”
由于绝大多数的网络攻击都是以精心设计的网络钓鱼开始的,因此有必要熟悉这种常见的黑客技术。
确切地说,什么是鱼叉式网络钓鱼?
东方联盟创始人、黑客天才郭盛华表示:“想象有人钓鱼,他们有什么工具?您可能在想像一根鱼竿和一张网,如果您正在考虑守旧派,也许是一支长矛。钓鱼时,您可以尝试用网捞起很多小鱼,或者更有针对性地用鱼竿和好诱饵去追捕更大的鱼。”
他说:同样,发送垃圾邮件的网络钓鱼者有两种选择。第一种方法:它是“从组织中获取尽可能多的电子邮件地址,并向他们发送所有可能单击的电子邮件”方法。
第二种策略称为“鱼叉式网络钓鱼”,其中攻击者针对个人。就像在池塘中,钓鱼者将注意力集中在一个位置上,以确保他们钩住了最好的鱼一样,社会工程学的网络钓鱼者选择了电子邮件目标,诱使该人以为他们是友好的或无威胁的来源,然后将其交付当他们最不期望的时候受到沉重的打击!
鱼叉式网络钓鱼攻击是一种社交工程师,其中利用社交网络工程师对潜在受害者的深入了解,诱使他们采取行动,使他们能够访问私有数据。
黑客如何寻找目标
既然您知道鱼叉式钓鱼者会追随个人,那么了解为什么黑客技术如此成功将很有帮助。
社会工程师首先出于各种原因找到他们感兴趣的公司:所持有数据的价值,安全漏洞,客户信息...然后,他们在Internet上搜索Internet上可公开访问的开放源数据。
然后,社会工程师使用此电子邮件中编织令人信服的故事或叙述,以欺骗他们的目标。黑客使用看起来可信任的电子邮件地址来建立错误的连接或关系。
在几封基础电子邮件中建立了融洽关系之后,不良行为者通常会发送注入恶意软件的链接或要求目标为它们执行操作,例如打开附件,这会用恶意软件感染其设备。 (欢迎转载分享)