一、什么是网络钓鱼(Phishing)
"网络钓鱼 (Phishing)攻击者利用欺骗性的电子邮件和伪造的 Web 站点来进行网络诈骗活动,受骗者往往会泄露自己的私人资料,如信用卡号、银行卡账户、身份证号等内容。诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌,骗取用户的私人信息。"以上是百度百科提供的定义,然而网络钓鱼这种"古老"的网络骗术,目前已经发展的不再是如此简单。
随着移动互联网的发展,钓鱼攻击的形式已经发展出了多种多样的形式。短信、QQ、微信、脉脉、微博、短视频平台等等,甚至是你在街上收到的传单上的二维码,都可能是钓鱼攻击的载体。目的也绝不仅仅是私人信息或者私人资料,公司内部信息、甚至是你或者公司的资产,更甚至你的腰子,都可能是攻击者的目标。
看问题要看本质,网络钓鱼的根本就是一种网络诈骗,或者说得更简单一些,就是"骗"。(划重点,后面要考)
二、揭开网络钓鱼的伪装
如上文所说,网络钓鱼目前有着各种各样的面孔,形式的复杂性,也使得钓鱼越来越难以被分辨。以常见的邮件钓鱼为例,目前就大致分为"网络钓鱼(Phishing)"、"鱼叉式钓鱼(Spear Phishing)"和"鲸钓(Whaling)"三种,其中Phishing是广撒网的一种邮件钓鱼方式,而Spear Phishing和Whaling都是一种更有针对性的,含有社会工程学技术的钓鱼方式。
1.首先我们要分辨的是"收件人",也就是你是否是从正常渠道收到的信息,从公司业务来讲,只有你的公司邮箱和京ME是可信的正规渠道,微信、QQ等其他通信方式都不应被信任。
2.其次我们要分辨的是"发件人",不管发件人的邮箱名称和地址看起来有多正规,有多少迷惑性,都要记得,只要不是内部邮件,就要提高警惕。
3.然后我们还有学会分辨的是"外链",大部分的钓鱼都是通过一个链接地址或者是一个二维码,邀请或命令你跳转到一个攻击者事先设计好的假冒网站上去,然后骗取你的信息,所以在打开外链之后,要注意外链的域名,是否是真实的。其中二维码要先使用工具(可以使用草料二维码解码器)进行解码,获取到真实网址。再使用工业和信息化部政务服务平台ICP/IP地址/域名信息备案管理系统对域名的真实性进行验证。
如果是外网域名,可以使用微步在线X情报社区-威胁情报查询_威胁分析平台_开放社区 (threatbook.com)进行搜索。
4.接下来需要分辨的是"附件",也有很多钓鱼邮件会通过附件骗你来下载病毒。最简单的是.exe这种可执行文件,100%不可以下载安装!其次是.docx、.html 或.pdf 一类文件,打开后不用执行宏命令!
5.最后,也是非常重要的,是分辨"内容",邮件如果表述的很急切,很重要,又或者需要你通过非常规渠道提供信息,或是要你给某人转账之类的操作,要想办法通过邮件外的方式与发件人进行二次确认。
三、一招避免上钩
上面的方法和招数,很有可能会在新的钓鱼技术产生之后失效,比如攻击者可以通过收购企业弃用的域名来发送"内部邮件",也就是说技术手段永远不能100%的防控钓鱼。所以说我们还是要回归本质--网络钓鱼就是"骗",其目的就是想通过威逼利诱的文字,试图让你在心情急迫的情况下,做出非常规的操作,从而达到骗你的目的。所以,只要一切都按照公司规定的途径和方法处理信息,就可以避免上钩!