当您早上醒来,困倦而心不在焉时,您收到了一封来自貌似熟悉来源的紧急邮件,没有多想,您点击了一个不应点击的链接。有时就是这么简单,这种超过 30 年历史的网络钓鱼方法意味着混乱的局面的开始—— 无论是您的个人银行账户还是社交媒体,攻击者也开始欺骗你的家人和朋友;如果在公司,这可能意味着系统和数据被入侵,服务中断,以及所有其他随之而来的后果。继我们的“在网络钓鱼攻击中被模仿最多的50个品牌”一文后,这里介绍一些帮助您防范这些骗局的提示。
我们都是人,回复或与恶意邮件互动仍然是入侵组织的主要方式。根据 CISA 的数据,90%的网络攻击始于钓鱼邮件,而一种相似类型的钓鱼攻击,商务邮件入侵(BEC),给企业造成的损失高达 430 亿美元。有一点可以肯定的是,由于 AI 聊天机器人等新兴工具和各种通信应用程序(Teams、Google Chat、Slack、LinkedIn 等)的广泛使用,钓鱼攻击正变得越来越复杂。
什么是网络钓鱼?它从那里开始(黑客成功的第一步)
看似简单,但用简单的语言提醒每个人始终是好事。电子邮件钓鱼是一种欺骗技术,攻击者会使用各种类型的诱饵,如令人信服的电子邮件或链接,欺骗受害者提供敏感信息或下载恶意软件。如果诱饵起作用——攻击者只需要它起一次作用——且受害者点击了这个链接,攻击者就会有机会实施进一步的攻击,并可能带来毁灭性的后果。任何人都可能被通用的“网络钓鱼”欺骗——但这些攻击也可以集中在一个目标上,具备有关受害者的具体信息,称为鱼叉式网络钓鱼。
近期的网络钓鱼例子有 Reddit (作为目标),Twilio,Cloudflare 也在大约同时遭到一次类似的攻击。详情请参见: “一场复杂的网络钓鱼骗局的机制以及我们如何阻止它” (通过使用我们自己的 Cloudflare One 产品)。某些情况下,雇员的家用电脑成为目标后,可能为黑客打开大门,造成几周后的一次重大入侵。
需要注意的一些警报包括英国国家网络安全中心 (NCSC),其表示网络钓鱼攻击正在瞄准多个行业的个人和组织。白宫国家网络安全战略 (Cloudflare 已为此做好准备)也强调了以上风险。 德国、日本或澳大利亚正在采取类似的方法。
话不多说,这里有一些提示来保护您自己免受网络钓鱼攻击。
在线安全提示:如何避免网络钓鱼诈骗
****不点击策略。****如果你收到来自银行或美国国税局等政府机构的邮件,不要点击邮件中的链接,而是直接访问网站本身。
****注意发送者的电子邮件地址中是否有拼写错误或奇怪的字符。****网络钓鱼往往依靠看来相似的域名或“发件人”电子邮件来鼓励点击。常见做法是增加或调换字母(microsogft[.]com)、省略(microsft[.]com)或使用相似的字符(字母 o 和数字 0,或 micr0soft[.]com)。
这是一次经典的品牌模仿网络钓鱼,用大通银行(Chase)作为可信的诱饵:
正文中的链接看起来是一个大通银行域名,但当点击时,它实际上打开了一个 SendGrid URL(一个已知的电子邮件发送平台)。然后该 URL 将用户重定向到冒充大通银行的钓鱼网站。
****在点击“解锁账户”或“更新支付信息”链接之前请三思。****由于个人信息可以在我们的电子邮件、在线存储和社交媒体账户中找到,科技服务是被用于钓鱼活动的主要行业之一。点击前,将鼠标悬停在链接上,确认它是一个您熟悉的 URL。
警惕与财务相关的信息金融机构是最有可能被钓鱼的行业,因此,对于任何要求接受或支付的信息,都要暂停并对其进行评估。
****注意那些能制造紧迫感的信息。****那些警告您有最后机会领取包裹或最后机会确认账户的电子邮件或短信很可能是假的。疫情期间,网上购物的兴起使零售和物流/航运公司成为这些类型的网络钓鱼的热门目标。
金融和包裹递送诈骗通常使用短信钓鱼攻击,与攻击者使用短信引诱受害者有关。几个月前,Cloudflare 曾经成为这类钓鱼的目标 (已被阻止)。如下短信示例就是来自这次被挫败的钓鱼攻击:
如果事情听起来好得令人难以置信,那么很可能就是如此。小心“限时提供”的免费礼物,独家服务,或到夏威夷或马尔代夫旅行的巨大优惠。钓鱼电子邮件的目标是我们的满足感、愉悦感和兴奋感,促使我们未经仔细考虑的情况下做出瞬间的决定。这类策略旨在引诱用户点击链接或提供敏感信息。即使只是几秒钟,也要暂停一下,然后迅速在网上查一下这个优惠,看看其他人是否也收到了类似的优惠。
来自一个非常重要的人的非常重要的信息……钓鱼电子邮件有时模仿高层人士,敦促采取紧急行动,如转账或分享凭据。仔细检查有此类请求的电子邮件,并验证其真实性。如果发件人是首席执行官,请联系您的经理。对于不熟悉的政客,在做出回应之前要评估请求的可行性。
消息正文充满错误(但要小心 AI 工具)。糟糕的语法、拼写和句子结构可能表明电子邮件不是来自一个信誉良好的来源。尽管如此,最近的人工智能文本工具已经让黑客或坏人更容易创建令人信服和无错误的文案。
浪漫诈骗邮件。在这些电子邮件中,骗子使用虚假的网络身份来获得受害者的喜爱和信任。他们也可能会发送一封看起来是错误发送的电子邮件,促使收件人回复并开始与诈骗者对话。这种策略是用来引诱受害者的。
使用密码管理器。密码管理器将验证域名是否与您的预期相匹配,如果您试图在错误的域名上填写密码,就会发出警告。
如果您想对潜在的钓鱼电子邮件进行更严格的审查,欢迎访问我们的学习中心,了解当电子邮件没有通过标准认证方法(如 SPF、DKIM 或 DMARC) 时会发生什么。
被模仿最多的 50 个品牌以及另外一些与 Cloudflare 相关的趋势来自 Cloudflare Area 1。 2022 年,我们专注于电子邮件保护的服务识别并阻止了 23亿封有害的邮件进入客户收件箱。我们平均每天屏蔽 630 万封邮件,这几乎是每 10 分钟 4.4 万封,也就是阅读一篇像这样的博客文章所花费的时间。
一般而言,最常用的电子邮件威胁类型(根据 2023 年 1 月的 Area 1 数据)是:身份欺骗、恶意链接、品牌假冒、恶意附件、诈骗、勒索、帐户入侵。还有语音钓鱼。
语音钓鱼是另一种常见的威胁,指通过电话欺骗人们分享敏感信息。受害者被引导相信他们正在与一个可信的实体对话,如税务机关、他们的雇主或他们使用的航空公司。如果希望进一步了解如何保护自己或自己的公司以防语音钓鱼,请查看这里。
另一种类型的攻击是水坑攻击。黑客识别目标组织内用户经常访问的网站,然后侵入这些网站以分发恶意软件。这些攻击通常与供应链利用有关。
接下来,我们展示一个来自真实供应商的钓鱼邮件示例,该供应商的电子邮件帐户被黑客入侵,这被称为供应商发票欺诈:
最后但并非最不重要的一个示例是:日历钓鱼。欺诈者可能会使用云电子邮件帐户将虚假邀请注入目标员工的日历。我们的 Cloudflare Zero Trust 产品可以检测和避免这些问题。
电子邮件链接隔离方法:防钓鱼攻击的安全网
正如我们在最近为 CIO Week 所写的文章中提到那样,即使训练有素的用户混淆了恶意链接和正常链接,依然有一张可能的安全网。通过利用 Cloudflare Browser Isolation 服务,就防护超出电子邮件范围的网络钓鱼攻击而言,电子邮件链接隔离将 Cloudflare 的云电子邮件安全打造成最全面的解决方案。它会重写和隔离可能被利用的链接,通过提醒用户他们即将访问的网站存在的不确定性来保持警惕,并防止恶意软件和漏洞。这个功能一键即可完成部署,符合 Cloudflare 的一贯风格。若要了解详情,请阅读这篇博客文章。
尽管如此,并非所有的恶意链接都来自电子邮件。如果你担心可能来自即时通讯或其他通信工具(Slack、iMessage, Facebook、Instagram、WhatsApp 等)的恶意链接,Zero Trust 和远程浏览器隔离就是有效的措施。
结论:宁可事先谨慎有余,不要事后追悔莫及
如我们所见,电子邮件是企业每天使用的最普遍也是被利用最多的工具之一。引诱用户点击电子邮件中的恶意链接是绝大多数恶意行为者的一种长期策略,无论是最老练的犯罪组织,还是初出茅庐的攻击者。因此,请记住,在线请
小心谨慎,做好准备,注意安全。