网络钓鱼攻击是一种旨在窃取用户数据的社会工程攻击,正在经历一场革命。人工智能最近的快速发展不仅仅为合法企业开辟了新的途径:ChatGPT 现在被用来进行网络钓鱼诈骗。
什么是网络钓鱼攻击?
网络钓鱼几乎与互联网一样存在。早期的攻击利用了基本的电子邮件安全性,使攻击者能够抓取电子邮件地址并通过无线电波传播恶意消息。早期网络钓鱼攻击的代表人物是尼日利亚王子骗局。在这种情况下,尼日利亚王室的一名成员会向潜在的受害者伸出援手,提供数额惊人的金钱。利用他们的财务不安全感,脆弱的个人一旦缴纳了“手续费”,就会得到这笔钱。
现代攻击已经采用了这种模板,并且发展和蓬勃发展,远远超出了充满拼写错误的欺骗手段。由于当今在线帐户处理的信息量巨大,攻击者现在的目标是收集从银行帐户详细信息到用户名和密码的任何信息。在合法且信誉良好的来源的幌子下,攻击者试图通过诱人或令人震惊的请求来提取信息。
在最近的概念验证中,尽管该工具警告可能违反其内容政策,但研究人员要求该工具模拟来自托管公司的电子邮件。这创造了一个很好的初稿。在第一次尝试的基础上,他们要求提供一种变体,说服目标下载特洛伊木马 Excel 文档。
结果是:
研究人员更进一步:利用 Open AI 的 Codex 程序(用于将文本转换为代码),他们能够创建一个 Excel 文档,该文档在打开时自动开始下载恶意代码。尽管这些人工智能系统受到限制,Codex 未能识别请求中的恶意意图。就像 ChatGPT 的网络钓鱼电子邮件一样,最初的代码也存在缺陷,但经过几次迭代后,提供了功能完美的恶意脚本。
随着网络钓鱼攻击的发展,您的组织保持领先一步至关重要。
网络钓鱼如何运作
任何网络钓鱼攻击的核心都是消息。这可以通过电子邮件、社交媒体或电话进行。现代智能手机和设备的持续连接构成了网络历史上最大的攻击面。
网络钓鱼攻击者经常利用公共信息——无论是通过社交媒体帐户发布的信息,还是主要数据收集者之前遭受的泄露。这些背景信息可以帮助他们创建受害者档案,包括接收者的姓名、个人兴趣和工作经验。所有这些数据都被输入到攻击中,以创建可靠且令人信服的消息。现代网络钓鱼攻击的收件人是从每年涉及数据泄露的数百万个电子邮件地址中获取的。 IBM 和 Ponemon 最近的数据泄露成本研究发现,数据泄露现在的平均成本为 近 4 万美元,涉及高达 90% 的企业 去年全年遭受违规。泄露的联系信息通过地下市场进行交换,并打包到可用的数据库中以进行广泛的网络钓鱼活动。
受害者收件箱中出现的电子邮件通常会尝试将自己伪装成合法的:这些活动可能受到恶意附件和支持网站的支持,旨在从受害者那里获取更多个人数据。
网络钓鱼攻击的类型
攻击者使用多种渠道联系受害者。这些网络钓鱼攻击代表了各种各样的妥协,每种类型都依赖于其媒介的某些优势。
电子邮件钓鱼
最古老、最成功的网络钓鱼形式之一:攻击者经常使用与合法版本接近的域名进行注册。这些范围可以是完全业余的(如果攻击者选择故意瞄准那些浏览电子邮件的人),也可以是看起来与合法版本几乎相同的欺骗性电子邮件域。替换或添加特殊字符是最常见的方法之一(例如,将 mybank 切换为 my-bank)。通过可靠的欺骗,他们开始向数千名潜在受害者发送垃圾邮件网络钓鱼攻击。
SmiShing利用
虽然传统的网络钓鱼攻击依赖于电子邮件,但智能手机在过去十年中开辟了一种全新的攻击方法。欺诈性短信充分利用了移动设备(及其用户)采用的较宽松的安全协议。这些消息通常链接到由攻击者控制的受恶意软件感染的网站,其 URL 较短且没有鼠标悬停,从而使攻击者占据了上风。
鱼叉式网络钓鱼
为了应对喷雾和祈祷方法变得越来越无效的情况,攻击者转向了一种更有效的攻击形式:鱼叉式网络钓鱼。这将攻击者的努力集中到较少数量的受害者身上,并针对特定的少数人。这些攻击受益于攻击者的全部注意力,以及利用公共 Facebook 和 LinkedIn 个人资料中的全部信息。
语音网络钓鱼
类似于短信诈骗,攻击者还渴望利用其他方法:语音网络钓鱼或语音钓鱼利用呼叫者和受害者之间更直接的关系。这使得网络钓鱼攻击的某些方面(例如诱导的紧迫性和威胁)特别有效。在这里,攻击者使用相同的欺骗方法,通常冒充受害者银行的诈骗调查小组。从那里,犯罪分子经常询问受害者的信用卡信息以验证他们的身份。然而,语音钓鱼也可以自动化:这些自动呼叫通常要求最终用户在键盘中输入个人详细信息。
钓鱼者网络钓鱼
虽然许多攻击者积极追捕潜在的受害者,但钓鱼者网络钓鱼采取了不同的方法,而不是等待他们伸出援手。通过隐藏在真正知名组织的虚假社交媒体帐户的外表后面,攻击者还可以包含真实帐户的个人资料图片。除了令人信服的假冒手柄之外,钓鱼者网络钓鱼者还利用了通过社交媒体渠道处理消费者投诉这一日益增长的趋势。当客户使用这些来寻求帮助时,攻击者可以自由地操纵对话以实现他们自己的数据收集目标。
如何识别网络钓鱼的迹象?
虽然社会工程是恶意电子邮件的主要组成部分,有一些好消息:攻击者在消息传递中经常依赖一些关键方法。这些事件经常发生,只要保持警惕,就可以在点击恶意链接或文档之前发现轻松的网络钓鱼攻击。
负面的、紧迫的后果
任何威胁或特别强调负面后果的信息都应格外谨慎。这是因为威胁的暗示会触发大脑的皮质醇反应。虽然心脏跳动更快并且血液流向肌肉以直接响应这种应激激素,但攻击者劫持了这种生物反应。这就是为什么伪造的密码重置电子邮件成为攻击者武器库中如此强大的工具的原因之一:通过隐藏在帐户泄露的威胁下,攻击者能够绕过通常为您提供保护的批判性思维过程。当加上紧急语气时,受害者很容易满足攻击者的每一个要求。
不寻常的语气
网络钓鱼消息的另一个应立即触发收件人警报的特征是不适当或意外的语气。受害者的优势很简单:你知道你有多少同事、朋友和家人进行过交流。这种意识使您能够更有能力检测异常通信的情况。如果亲密的朋友发送包含正式语言的消息,或者同事开始使用过于友好的术语,这可能是您保护自己的第一个指标。
意外的请求
与电子邮件的语气类似,网络钓鱼电子邮件中内置的请求可以提供对发件人真实意图的另一种洞察。如果您突然被要求执行不属于您日常职责范围的操作,那么值得多花一点时间仔细检查。这可以利用受害者更深入的上下文理解:例如,如果您的组织有一个管理软件安装的中央 IT 团队,您就知道要极其谨慎地对待任何请求软件下载的电子邮件。
如何保护您的企业免受网络钓鱼攻击
虽然个人可能会对网络钓鱼变得异常警惕,但事实仍然是,企业范围的网络钓鱼只是一场统计游戏:某个地方的某个人会匆忙行事,为攻击者打开大门。 企业范围的保护 需要结合参与性和以习惯为中心的培训,以及更好地支持员工受到保护的解决方案。
员工意识培训
的基础 可靠的网络钓鱼防护 计划从受害者开始:通过向员工提供有关当今攻击性质的最新相关信息,社会工程攻击将变得更难成功实施。这使得员工培训成为企业防御最重要的形式之一。员工需要了解尖端网络钓鱼攻击的目的和技术,并知道向哪些团队成员报告可疑事件。这样,组织不仅支持员工,而且采取主动的网络安全立场,与攻击者一起适应和发展。
除此之外,还应鼓励员工密切关注积极的安全指标:来自信誉良好的防病毒解决方案的信任徽章可提供快速且可访问的站点和应用程序安全指标。
限制访问
当用户改进自己的网络钓鱼防护时,公司范围内的政策可以支持这些努力。由于成功攻击的影响范围更大,特权用户帐户是犯罪者的最高目标之一。最小权限原则允许员工仍然访问他们需要的数据,同时最大限度地降低成为目标的风险。
在攻击发生之前测试弹性
培训和基础设施到位后,您的组织对网络钓鱼的抵御能力已经开始形成。然而,当今数据泄露的成本太高,不能冒险,这就是为什么安全团队和最终用户都从半常规网络钓鱼攻击模拟中受益匪浅的原因。从让用户熟悉现代攻击技术,到提供公司真正防御能力的宏观视角,这些测试是主动网络钓鱼防护的一张王牌。
使用 LayerX 浏览器安全平台预防网络钓鱼
反网络钓鱼难题的最后一部分是一层阻止全新攻击的预防机制。传统的反网络钓鱼解决方案通过阻止攻击者已使用的已知 URL 来运行。虽然这种方法可以有效对抗较老和更成熟的威胁行为者,但这种方法完全是被动的:只有在他们选择的 URL 已被标记和报告时,它才能防止攻击。另一方面,攻击者能够不断地从一个 URL 跳转到另一个 URL,导致绝大多数网络钓鱼架构仍处于此保护范围之外。
LayerX 提供高精度威胁检测,不依赖于先验知识。 LayerX 不是简单的列入黑名单的 URL 列表,而是根据对网站预计活动的分析来识别可疑网站。我们独立的机器学习引擎通过 易于安装的浏览器扩展,零延迟。这样,就可以在最终用户的设备连接到攻击者控制的 Web 服务器之前发现恶意意图。通过主动应对网络钓鱼,您的组织可以领先于任何攻击者(人工智能或人类)。