2024年巴黎奥运会的火炬再次点燃,32个大项、329个小项将轮番上演。作为一项历史悠久、参与度极高的活动,钓鱼却始终难以登上奥运的舞台。
国际钓鱼运动联合会曾在2016年提交申请,希望将钓鱼纳入奥运项目,却未能如愿。这背后的原因复杂而多样,既有钓鱼技术的多样性,也有鱼种的差异性,更有观赏性和血腥场面的考量。这些因素共同构成了钓鱼进入奥运的难题。
网络钓鱼是一项同样极具多样性和差异性的社会工程学攻击方式。
网钓技术最早于1987年问世,而首度使用“网钓”这个术语是在1996年。该辞是英文单词钓鱼(fishing)的变种之一,意味着放线钓鱼以“钓”取受害人财务资料和密码。
攻击者通常会通过伪装成可信任实体(如银行、社交媒体平台或同事等)的方式,通过电子邮件、短信或其他通信工具发送诱导性信息,目的是传播病毒、骗取收件人的用户名、密码、信用卡号等敏感信息,甚至直接要求转账、骗取财产。
上个月,我们分批进行了3次模拟“钓鱼”演练。目的在于提升全员对于网络安全的认识和防范能力,从而有效应对日益猖獗的网络钓鱼攻击。
通过发送非常时令的高温补贴通知邮件,我们设置了多个陷阱,旨在帮助大家模拟识别和应对钓鱼邮件。
大多数同事成功无视了这些邮件,三分之一的同事更是主动向信息安全部门反馈了风险。
发送方式也采用了多人群发和私密发送两种,若实际工作中收到无法确认真伪的群发邮件,不妨联系其他收件人共同判定、互相提醒。
虽然网络钓鱼是高隐蔽性、高风险性的攻击方式,但只要足够了解钓鱼攻击的原理和常见手段,我们每个人都能保护好工作和生活中的信息和财产,还可以通过及时反馈的方式快速阻断攻击,保护家人朋友和工作业务的信息安全。
除了此次演练中使用的邮件诱导外,日常工作和生活中我们还可能遭遇其他各种形式的钓鱼手段,例如:
1.假冒网站:骗子制作与真实网站相似的网页,诱骗用户输入个人信息。
2.恶意软件安装请求:通过欺骗性的邮件或下载链接,诱导用户安装恶意软件,进一步窃取信息。
3.电话诈骗:通过电话假装是银行、警察或其他官方机构,要求提供个人信息或直接转账。
Check Point的威胁情报部门发布了 2024 年第二季度网络犯罪分子最常冒充品牌的排名,该排名揭示了哪些公司最常被攻击者用来欺骗用户并窃取个人或支付信息。科技行业仍然是网络钓鱼攻击中最常被欺骗的行业,其次是社交网络和银行业。微软、谷歌和亚马逊等科技公司经常存储敏感数据,包括个人和财务信息,并提供对其他账户的访问权限,这使它们成为网络犯罪分子的诱人目标。
2024 年第二季度在网络钓鱼攻击中被冒充的十大品牌:
微软 (57%)
苹果(10%)
LinkedIn(7%)
谷歌(6%)
Facebook(1.8%)
亚马逊(1.6%)
DHL(0.9%)
阿迪达斯 (0.8%)
WhatsApp(0.8%)
Instagram(0.7%)
在第二季度,Check Point Research 观察到多起模仿阿迪达斯品牌网站的网络钓鱼活动。例如,网站 adidasyeezys[.]cz 和 adidasyeezys[.]it 的创建目的是欺骗用户相信他们正在访问阿迪达斯 Yeezy 官方网站。这些欺诈资源在视觉上复制了原始阿迪达斯网站,并用于窃取用户数据。
最近几个月,许多活动利用 Instagram 品牌进行网络诈骗,将 Instagram 推到了被冒充最多品牌榜单的第十位。其中一个例子是域名 instagram-nine-flame[.]vercel[.]app/login 上的一个钓鱼页面,它模仿了 Instagram 的登录界面,提示用户输入他们的登录凭据。
另一个例子是域名 instagram-verify-account[.]tk,该域名之前会显示一条消息,敦促用户以验证其 Instagram 帐户为幌子输入个人信息。
面对这些“与时俱进”的钓鱼手段,我们在日常工作和生活中如何保护自己不被“钓”呢?
以下是一些实用的防护措施:
1.提高警觉:任何不请自来的电子邮件、短信或电话,尤其是那些要求点击链接或提供个人信息的,都应引起你的警惕。
2.验证来源:在点击任何链接或提供任何信息之前,务必通过可靠途径验证发信人的身份和信息的真实性。
3.安全设置:使用复杂且唯一的密码,定期更新,遵循《信息系统账号管理制度》要求,适当启用多因素认证。保持操作系统和防病毒软件的最新状态,以阻止恶意软件入侵。
4.教育与培训:积极关注公司组织的信息安全培训和宣传,了解最新的信息安全事件、威胁和防护策略。
5.及时报告:如果你怀疑自己遇到了钓鱼攻击,立即报告给公司信息安全组,以便采取相应措施。
