钓鱼……那是什么?一种新的捕鱼技巧?
钓鱼是试图通过伪装成可信实体来获取敏感信息(如用户名、密码和信用卡详细信息)的过程,通常通过批量电子邮件进行,试图绕过垃圾邮件过滤器。
声称来自流行社交网站、银行、拍卖网站或IT管理员的电子邮件通常被用来诱骗毫无戒心的公众。这是一种犯罪性欺诈的社会工程形式。
钓鱼是试图通过伪装成可信实体来获取敏感信息(如用户名、密码和信用卡详细信息)的过程,通常通过批量电子邮件进行,试图绕过垃圾邮件过滤器。
声称来自流行社交网站、银行、拍卖网站或IT管理员的电子邮件通常被用来诱骗毫无戒心的公众。这是一种犯罪性欺诈的社会工程形式。
在已知的数百种钓鱼骗局中,以下是四种最常见的类型:
在电子邮件钓鱼攻击中,紧迫感是主要特征。诈骗者向多个收件人发送看似合法的电子邮件,鼓励他们修改密码或更新个人信息和账户详细信息。
这种钓鱼策略与钓鱼电子邮件非常相似。黑客通过发送短信试图从个人那里窃取机密信息,要求他们回复或采取进一步行动。如果个人拒绝这样做,犯罪分子有时甚至会威胁他们。
这种策略需要使用电子邮件对特定个人或企业进行攻击。犯罪分子获取目标的个人信息,并利用这些信息向他们发送个性化且可信的电子邮件。
网络犯罪分子发送电子邮件,假装是C级高管或同事,通常要求进行资金转账或提供税务信息。
钓鱼模拟是模仿现实世界钓鱼电子邮件的行为,组织可以向员工发送这些邮件以测试其在线行为并评估其对钓鱼攻击的知识水平。这些电子邮件反映了专业人士在日常活动中可能遇到的网络威胁,无论是在工作时间还是非工作时间。
最新统计数据显示,钓鱼威胁持续上升。自2019年以来,钓鱼攻击的数量每年增长150%,反钓鱼工作组(APWG)报告称2022年钓鱼活动达到历史新高,记录了超过470万个钓鱼网站。根据Proofpoint的数据,2022年84%的组织经历了至少一次成功的钓鱼攻击。
因为即使是最好的电子邮件网关和安全工具也无法保护组织免受所有钓鱼活动的侵害,组织越来越多地转向钓鱼模拟。精心设计的钓鱼模拟通过两种重要方式帮助减轻钓鱼攻击的影响。模拟为信息安全团队提供了教育员工更好地识别和避免现实生活中钓鱼攻击所需的信息。它们还帮助安全团队发现漏洞,改进整体事件响应,并减少成功钓鱼尝试导致的数据泄露和财务损失的风险。
该流程通常包括五个步骤: