Proofpoint US?表示，網絡釣魚攻擊每年給大型組織造成近 1500 萬美元的損失，或者每名員工損失超過 1500 美元。憑據網絡釣魚攻擊可能不再是最流行的網絡釣魚形式，但它們仍然非常普遍，并且是造成大量業務損失的根源。如果您有任何需要登錄憑據的在線帳戶（我們中的大多數人都這樣做），那么您將面臨憑據網絡釣魚的風險。

憑據網絡釣魚攻擊如何運作？

網絡釣魚攻擊通常以用戶名、ID、密碼或個人密碼等憑據為目標。憑據網絡釣魚是指黑客通過在電子郵件或其他通信渠道中偽裝成可信方來試圖竊取您的憑據。黑客通常會將他們收集的數據出售給暗網。從社交媒體和銀行業務到電子商務網站和商業工具，我們都有越來越多的在線賬戶需要登錄憑據。

您的用戶名或電子郵件，以及您的密碼和個人識別碼，都將被視為“憑證”的形式。這是網絡釣魚攻擊中最常泄露的數據類型。您可能認為密碼竊取方法大多是無害的，包括暴力攻擊，黑客使用手動和自動技術嘗試猜測您的密碼，但沒有成功。

然而，當今的網絡犯罪分子使用越來越復雜的數字操作形式來提取您的敏感信息。由于憑據網絡釣魚依賴于信任，因此它比您想象的要有效得多。德勤表示，91% 的網絡攻擊都是從向毫無戒心的受害者發送網絡釣魚電子郵件開始的，憑證竊取網絡釣魚也不例外。這些電子郵件通常被定位為緊急請求，無論是逾期未付的發票、最近的購買，還是最近付款的跟進。由于電子郵件似乎來自合法來源，并帶有聽起來合法的請求，因此普通用戶很難發現密碼盜竊攻擊。

要注意的憑據網絡釣魚電子郵件的類型

Tessian已經確定了一些最常見的網絡釣魚電子郵件的主題行。它們如下：

• 緊急/重要
• 要求
• 跟進
• 支付狀態
• 你好
• 購買
• 發票到期
• 你有空嗎？/ 你在辦公桌前嗎？

Tessian 還表示，此類電子郵件的打開率可高達 25%。因此，雖然并非所有網絡釣魚電子郵件首先都會被打開，但攻擊者的成功率足夠高，可以繼續使用久經考驗的策略。

您應該了解密碼盜竊攻擊電子郵件的其他一些定義特征。這是您需要知道的：

• 該電子郵件的目的是讓您點擊惡意鏈接
• 該電子郵件將直接發送給您，并且看起來來自可信來源
• 該電子郵件還將具有相關的品牌和電子郵件簽名（如果適用），甚至模仿發件人的聲音

惡意網站的憑據釣魚攻擊

如前所述，網絡釣魚電子郵件的目的是讓您點擊惡意鏈接。但是，此鏈接不會將您帶到某些流氓網站或將病毒下載到您的計算機上（盡管這始終存在風險）。與原始消息一樣，惡意網站具有您可能期望從真正的提供商那里獲得的所有信任指標——徽標、品牌、顏色、字體、通信方式等等！

它是假網站的唯一跡象可能是網站 URL。大多數企業現在都使用多個域和門戶，因此診斷起來可能比您想象的要難。雪上加霜的是，現在的黑客甚至使用 HTTPS 和/或 SSL 證書來使他們的網站看起來安全。但是，僅僅因為它是安全的，并不意味著您的數據不會被盜。

還有一件事需要注意。但是，如果您偶然發現一個假網站，這可能會有所幫助。該網站可能會使用圖像代替純文本來規避垃圾郵件過濾器。

如何防止密碼盜竊攻擊？

竊取的憑據通常用于商業電子郵件入侵、供應商電子郵件入侵、識別欺詐、欺詐交易、竊取個人或公司信息以及其他攻擊。在某些情況下，您的憑據甚至會在暗網上出售。

為防止憑據網絡釣魚，您需要：

• 利用電子郵件安全軟件。您的電子郵件安全軟件是您的第一道防線。它可能無法捕獲所有憑據網絡釣魚攻擊，但它應該會大大減少通過過濾器的電子郵件數量。
• 對您的員工進行網絡釣魚和數據安全方面的培訓。在電子郵件安全軟件之后，人是您的第一道防線。這意味著他們應該接受關于在收件箱中尋找什么的培訓和教育。大多數數據泄露都始于人為錯誤，因此培訓投資至關重要。這也是某些監管標準和隱私法的要求。
• 使用安全密碼并定期更新。從技術上講，您和訪問您敏感數據的黑客之間唯一的區別就是您的密碼。無論好壞，所有其他憑據都可以輕松獲得。假設您不與任何人共享強密碼，則可以幫助防止攻擊和破壞。

結論

憑據網絡釣魚攻擊是一個真正的問題，有時，它們會通過您的所有過濾器。為將風險降至最低，請采取上述所有預防措施。無論您的企業規模大小，黑客都在積極通過網絡釣魚獲取登錄憑據以實施網絡犯罪。