当提到网络钓鱼时,大多数人首先想到的是电子邮件钓鱼。然而,随着攻击者手段的不断升级,网络钓鱼技术正日趋多样化,其中一些相对鲜为人知但却日益猖獗的攻击方式正对用户构成严峻威胁。以下是Knowbe4创始人Stu Sjouwerman分享的八种隐蔽而又流行的钓鱼攻击手段:
1
SEO中毒攻击
每月都有成千上万的新钓鱼网站涌现,攻击者利用搜索引擎优化(SEO)技术,使这些恶意网站能够轻松出现在搜索结果中。例如,当用户搜索“下载Photoshop”或“PayPal账户”时,可能会遇到与合法网站极为相似的伪装页面,诱使用户提供个人信息或点击恶意链接。此外,攻击者还会劫持搜索引擎的企业列表,通过篡改联系信息,将用户引导至伪造的“官方”页面,从而进一步欺骗受害者。
2
付费广告骗局
网络犯罪分子越来越多地利用付费广告作为钓鱼攻击的载体。他们通过展示广告、按点击付费广告或社交媒体广告,将用户引导至恶意网站,诱骗他们下载恶意应用或泄露个人信息。一些攻击者甚至在这些广告中嵌入恶意软件(即“恶意广告”),进一步扩大钓鱼的攻击面。
3
社交媒体钓鱼
社交媒体平台成为了黑客的另一个猎场。攻击者可以通过伪造账户、冒充名人或可信联系人,发布含有恶意链接的评论或信息,诱导用户点击。此外,游戏、赌博、星座占卜、金融投资等应用也常被用来收集用户的敏感信息。甚至,深度伪造技术(deepfake)也被用于散布虚假信息,制造混乱。
4
二维码钓鱼
顾名思义,二维码钓鱼是指利用二维码实施的钓鱼攻击。例如,黑客通过在餐厅菜单、停车计费单、活动邀请函等地方贴上恶意二维码,诱骗用户扫描二维码后,进入钓鱼网站或进行不安全的支付。数据显示,二维码攻击在过去一年内激增了587%。
5
APP钓鱼
移动应用钓鱼指的是攻击者通过移动应用商店分发恶意APP应用,诱导用户下载后,窃取其个人信息或金融数据。这些恶意APP有时会伪装成合法的应用,甚至模仿流行应用。以安卓系统为例,近期研究人员在Google Play商店中发现了90多个恶意应用,下载量超过550万次。
6
回拨钓鱼
回拨钓鱼是一种社会工程攻击,攻击者通过伪造的客服电话或帮助台号码,诱导受害者拨打电话以获取进一步的信息。拨钓鱼通常通过电子邮件或短信来引导受害者回拨。
7
云端钓鱼攻击
随着云服务的普及,攻击者开始利用云端服务平台发起钓鱼攻击。例如,黑客通过协同办公软件发送钓鱼消息,或者在云存储服务中托管恶意网址,进而分发钓鱼链接。通过这些手段,攻击者能够绕过传统的网络防护机制,发动更隐蔽的攻击。
8
内容注入攻击
攻击者还会利用软件、设备、应用程序中的漏洞,注入恶意内容,欺骗用户访问恶意网站、下载恶意软件或提交敏感信息。例如,攻击者可以通过篡改网站的“联系我们”的页面信息,诱使用户点击恶意链接或拨打假冒的电话客服。
随着AI工具的日益普及,攻击者将能够发起更加智能化、复杂化和个性化的钓鱼攻击。企业必须加强安全培训,并定期开展意识提升活动,确保员工具备应对日益复杂的社会工程攻击的能力,从而有效保护敏感数据和公司资产的安全。