在众多网络攻击中,网络钓鱼可以说是攻击者最喜欢使用的攻击手段之一。据《2022年数据泄露成本报告》显示,网络钓鱼已成为数据泄露的第二大方式,占比达16%,给受访组织造成高达491万美元的泄露成本。
钓鱼者可以攻击任何在线服务中的证书:银行、社交网络、政府门户网站、在线商店、邮件服务、快递公司等。例如,去年,Microsoft用户受到了成千上万的网络钓鱼电子邮件的攻击,这是一次持续不断的攻击,目的是窃取用户的Office 365凭据。攻击者利用一个虚假的Google reCAPTCHA系统和包含受害者公司logo的顶级域名登录页面,增加了伪造系统的合法性。
钓鱼者的目标既包括企业用户,也包括普通互联网用户,但企业用户的损失成本会相对较高。一些黑客通过诱骗企业员工点击钓鱼网站,进而黑入企业内部系统,窃取企业数据,或以此勒索企业,或将这些数据进行售卖获利。
根据Coremail邮件安全大数据中心2022年Q4季报显示,2021年CAC识别钓鱼邮件1.81亿,2022年上升至2.25亿,增幅高达24.1%。这表明2022年平均每天有61万7088封钓鱼邮件被接收及发出,企业用户面临潜在经济损失不可估量。
与此同时,近期的一些网络安全事件也与网络钓鱼有关。例如,黑客通过网络钓鱼动视暴雪员工,成功访问了该公司的内部系统,并泄露了部分员工敏感个人信息和游戏数据。据悉,在去年12月4日,黑客通过网络钓鱼的方式骗取了动视员工的验证码,获得了其 Slack 账户的访问权限,并窃取了动视暴雪的部分内部文件。受害员工来自人力资源部门,这代表着黑客能够访问大量敏感的员工详细信息。
再如,近期火热的ChatGPT。据了解,ChatGPT可能存在的安全隐患,可以预见的是,一种新的网络威胁即将兴起:犯罪分子正在使用像ChatGPT这类的AI工具,来加强他们的社会工程学攻击。
众所周知,社会工程学攻击与网络钓鱼有着密不可分的关系。而且,目前境外有人使用ChatGPT创建了一个完整的感染链:不同以往的广撒网式的网络钓鱼,它在提问者的诱导下可以生成针对特定人或者组织的“鱼叉式”网络钓鱼邮件,此类钓鱼邮件更具有欺骗性和迷惑性,这就导致邮件接收方更容易上当受骗,接收者一旦点击该邮件,系统就会被恶意代码感染中毒。
以及,此前据Bleeping Computer网站披露,一个新的网络犯罪活动将钓鱼网站隐藏在谷歌搜索结果中,以窃取亚马逊网络服务(AWS)用户的账户密码。据悉,当用户搜索“aws”时,不良广告在搜索结果中排名第二,仅次于亚马逊自身推广搜索结果。经过研究分析,安全人员发现攻击者先将广告直接链接到网络钓鱼页面,后期陆续增加了重定向步骤,以期逃避谷歌广告欺诈检测系统的监管,一旦用户输入电子邮件地址和密码,账户信息就会被盗。
总之,网络钓鱼攻击依然很“活跃”,不管针对企业的,还是普通互联网用户的。有时,某一个普通互联网用户就是某一家企业员工,如遭遇网络钓鱼,仍然能给企业造成资金损失、数据泄露等安全风险。
而且,一些攻击者还在不断创新网络钓鱼方式。例如,一家与伊朗有关的黑客组织如今使用一种精心设计的新颖的网络钓鱼技术,他们使用多个用户角色和电子邮件帐户,引诱目标以为这是真实的电子邮件对话。
攻击者向目标发送一封电子邮件,同时抄送由他们控制的另一个电子邮件地址,然后从该电子邮件来回复,进行虚假对话。
这种网络钓鱼技术名为“多用户角色冒充”(MPI),美国企业安全公司Proofpoint的研究人员首次注意到了它。该技术利用“社会证明”这个心理学原理来模糊逻辑思维,并提高网络钓鱼活动的可信度。
可见,网络钓鱼仍然是攻击者获得成功的攻击方法之一。例如,在汽车行业,除了暴力网络攻击,黑客获取进入目标网络的凭据的另一种方法是通过网络钓鱼等社会工程学攻击。
最后,需要注意的是,企业一定要坚持“最小权限访问”原则。因为攻击者在用网络钓鱼攻击企业用户时,更多的是窃取企业员工的访问权限,以便访问企业内网,获取更多的敏感数据。