一、什麼是網絡釣魚(Phishing)
“網絡釣魚 (Phishing)攻擊者利用欺騙性的電子郵件和僞造的 Web 站點來進行網絡詐騙活動,受騙者往往會泄露自己的私人資料,如信用卡號、銀行卡賬戶、身份證號等內容。詐騙者通常會將自己僞裝成網絡銀行、在線零售商和信用卡公司等可信的品牌,騙取用戶的私人信息。”以上是百度百科提供的定義,然而網絡釣魚這種“古老”的網絡騙術,目前已經發展的不再是如此簡單。
隨着移動互聯網的發展,釣魚攻擊的形式已經發展出了多種多樣的形式。短信、QQ、微信、脈脈、微博、短視頻平臺等等,甚至是你在街上收到的傳單上的二維碼,都可能是釣魚攻擊的載體。目的也絕不僅僅是私人信息或者私人資料,公司內部信息、甚至是你或者公司的資產,更甚至你的腰子,都可能是攻擊者的目標。
看問題要看本質,網絡釣魚的根本就是一種網絡詐騙,或者說得更簡單一些,就是“騙”。(劃重點,後面要考)
二、揭開網絡釣魚的僞裝
如上文所說,網絡釣魚目前有着各種各樣的面孔,形式的複雜性,也使得釣魚越來越難以被分辨。以常見的郵件釣魚爲例,目前就大致分爲“網絡釣魚(Phishing)”、“魚叉式釣魚(Spear Phishing)”和“鯨釣(Whaling)”三種,其中Phishing是廣撒網的一種郵件釣魚方式,而Spear Phishing和Whaling都是一種更有針對性的,含有社會工程學技術的釣魚方式。
1.首先我們要分辨的是“收件人”,也就是你是否是從正常渠道收到的信息,從公司業務來講,只有你的公司郵箱和京ME是可信的正規渠道,微信、QQ等其他通信方式都不應被信任。
2.其次我們要分辨的是“發件人”,不管發件人的郵箱名稱和地址看起來有多正規,有多少迷惑性,都要記得,只要不是內部郵件,就要提高警惕。
3.然後我們還有學會分辨的是“外鏈”,大部分的釣魚都是通過一個鏈接地址或者是一個二維碼,邀請或命令你跳轉到一個攻擊者事先設計好的假冒網站上去,然後騙取你的信息,所以在打開外鏈之後,要注意外鏈的域名,是否是真實的。其中二維碼要先使用工具(可以使用草料二維碼解碼器)進行解碼,獲取到真實網址。再使用工業和信息化部政務服務平臺ICP/IP地址/域名信息備案管理系統對域名的真實性進行驗證。
如果是外網域名,可以使用微步在線X情報社區-威脅情報查詢_威脅分析平臺_開放社區 (threatbook.com)進行搜索。
4.接下來需要分辨的是“附件”,也有很多釣魚郵件會通過附件騙你來下載病毒。最簡單的是.exe這種可執行文件,100%不可以下載安裝!其次是.docx、.html 或.pdf 一類文件,打開後不用執行宏命令!
5.最後,也是非常重要的,是分辨“內容”,郵件如果表述的很急切,很重要,又或者需要你通過非常規渠道提供信息,或是要你給某人轉賬之類的操作,要想辦法通過郵件外的方式與發件人進行二次確認。
三、一招避免上鉤
上面的方法和招數,很有可能會在新的釣魚技術產生之後失效,比如攻擊者可以通過收購企業棄用的域名來發送“內部郵件”,也就是說技術手段永遠不能100%的防控釣魚。所以說我們還是要回歸本質--網絡釣魚就是“騙”,其目的就是想通過威逼利誘的文字,試圖讓你在心情急迫的情況下,做出非常規的操作,從而達到騙你的目的。所以,只要一切都按照公司規定的途徑和方法處理信息,就可以避免上鉤!