前言
网络钓鱼是一种常见的网络攻击形式。我们经常会接收到自称是银行员工的电子邮件、短信和电话等,他们一般会先说出你的一些重要的个人信息来让你相信他们的身份,但是他们的目标却是从我们这里得到足以访问我们银行账户的敏感信息。如果被这种诈骗方式欺骗,您将成为万千网络钓鱼攻击受害者中的一员。在本文中,我们将了解网络钓鱼及其不同的形式,以及最重要的,如何避免成为网络犯罪的受害者。
什么是网络钓鱼?
网络钓鱼是一种网络攻击形式。黑客会声称自己是某个受信任实体,再发送欺诈性消息给诈骗目标。他们的目的是诱骗诈骗目标泄露账户密码或信用卡密码等敏感信息。“网络钓鱼”一般有一个诱饵,如果受害者抓住了诱饵,那么攻击就成功了。网络钓鱼(Phishing)一词来自于“Fishing”(钓鱼)一词,也就是散布诱饵,如果目标咬上了诱饵,钓鱼也就成功了。
网络钓鱼攻击一般是以短信和电子邮件的形式,要求用户验证帐户或更改密码。一旦用户点击了钓鱼消息所附的链接,他/她就会被跳转到一个由黑客设计的假网站,目标在该网站进行操作时就把自己的敏感账户信息拱手交给了黑客。
网络钓鱼的原理
网络钓鱼最开始是发送附有虚假链接的电子邮件或短信。如果受害者在这些链接所通向的网站上进行登陆等操作,他们泄漏的个人账户信息会被立即发送给设计该网站的黑客。这些网站的界面一般都与官方网站高度相似,很难甄别。
在某些情况下,首先受到攻击的是受害者的设备,一般是以安装恶意软件的形式。受害者一旦使用这些恶意软件就会使设备遭受勒索软件攻击。勒索软件会引导受害者去进行一定金额的支付,然后就能获得对其设备的完全访问权限。
网络钓鱼的类型
网络钓鱼攻击的主要类型包括
欺骗性网络钓鱼:黑客向许多人发送消息,没有特定的目标,寄希望于收到消息的一部分人会掉入陷阱。
鱼叉式网络钓鱼:也被称为自定义网络钓鱼,这种钓鱼类型的目标是特定的人群,如某加密货币交易所的用户群体。目标群体可能会收到伪装成交易所工作人员的电子邮件,要求他们更改密码以避免损失资金。
域欺骗(Pharming):黑客使用与原始网站相似的虚假网站,比如使用www.facebok.com和www.youtube.com等域名。但是只要认真观察,我们就能够发现这些链接是假的。
鲸钓:鲸钓比鱼叉式网络钓鱼的攻击对象更具体,主要是大公司的CEO。此类电子邮件经过专业制作,具有扎实的写作功底和对业务的理解。由于大公司一般有许多合作伙伴,因此受害人很难察觉到异样,就向黑客透露了敏感信息,或者下载了恶意附件。
如何保护自己免受网络钓鱼攻击
掉入网络钓鱼陷阱有可能会造成非常严重的后果,所以培养网络安全意识尤为重要。
我们应该尽量做到
点击任何链接前先验证其真实性。
不在陌生网站或弹窗中输入敏感信息。
不回应任何可疑信息。
不下载可疑附件。
使用反网络钓鱼的浏览器扩展程序,例如Cloudphish。
结论
黑客永远都在寻找诱骗受害者信息的新方法。他们使用的许多套路已被公开,因此我们更不能让自己成为这些低成本套路的受害者。不要急于打开您收到的任何链接,也不要轻易相信中奖消息。如果您收到一封电子邮件说中了10,000美元的彩票,一看您就该知道是假的。我们必须时刻保持警惕,避免因为小错误而蒙受大损失。