“網(wǎng)絡(luò)釣魚”是指企圖竊取敏感信息，通常以用戶名、密碼、信用卡號、銀行賬戶信息或其他重要數(shù)據(jù)的形式，以利用或出售被盜信息。通過偽裝成信譽良好的消息來源并提出誘人的請求，攻擊者引誘受害者以欺騙他們，這與漁夫使用誘餌捕魚的方式類似。

網(wǎng)絡(luò)釣魚是如何進行的？

最常見的網(wǎng)絡(luò)釣魚示例用于支持其他惡意操作，例如路徑上攻擊和跨站點腳本攻擊。這些攻擊通常通過電子郵件或即時消息發(fā)生，并且可以分為幾個一般類別。熟悉這些不同的網(wǎng)絡(luò)釣魚攻擊媒介中的一些是很有用的，以便在野外發(fā)現(xiàn)它們。

預(yù)付費騙局

這種常見的電子郵件網(wǎng)絡(luò)釣魚攻擊因“尼日利亞王子”電子郵件而流行，其中一名據(jù)稱處于絕望境地的尼日利亞王子主動提出以少量費用預(yù)付給受害者一大筆錢。不出所料，當(dāng)支付費用時，沒有大筆資金到賬。有趣的歷史是，這種類型的騙局已經(jīng)以不同的形式發(fā)生了一百多年；它最初在 1800 年代后期被稱為西班牙囚犯騙局，其中一個騙子聯(lián)系受害者，以祈求他們的貪婪和同情。據(jù)稱，騙子試圖走私一名富有的西班牙囚犯，他將重金獎勵受害者，以換取賄賂一些獄警的錢。

這種攻擊（是它的所有形式）通過不響應(yīng)來自未知方的請求來減輕，在這些請求中必須付出金錢才能獲得回報。如果這聽起來好得令人難以置信，那可能就是這樣。對請求的主題或某些文本本身進行簡單的 Google 搜索，通常會顯示出騙局的詳細(xì)信息。

帳戶停用騙局

通過利用受害者認(rèn)為重要帳戶將被停用的緊迫性，攻擊者能夠誘騙某些人交出重要信息，例如登錄憑據(jù)。舉個例子：攻擊者發(fā)送一封看似來自銀行等重要機構(gòu)的電子郵件，他們聲稱如果不迅速采取行動，受害者的銀行賬戶將被停用。然后，攻擊者將向受害者的銀行帳戶請求登錄名和密碼，以防止停用。在攻擊的一個巧妙版本中，一旦輸入信息，受害者將被引導(dǎo)到合法的銀行網(wǎng)站，這樣就沒有什么不合時宜的了。

可以通過直接訪問相關(guān)服務(wù)的網(wǎng)站并查看合法提供商是否通知用戶相同的緊急帳戶狀態(tài)來對抗此類攻擊。檢查 URL 欄并確保網(wǎng)站安全也很好。任何要求不安全的登錄名和密碼的網(wǎng)站都應(yīng)該受到嚴(yán)重質(zhì)疑，并且?guī)缀鯚o一例外地不應(yīng)使用。

網(wǎng)站偽造詐騙

這種類型的騙局通常與其他騙局相結(jié)合，例如帳戶停用騙局。在這次攻擊中，攻擊者創(chuàng)建了一個與受害者使用的企業(yè)（例如銀行）的合法網(wǎng)站幾乎相同的網(wǎng)站。當(dāng)用戶通過任何方式訪問該頁面時，無論是電子郵件網(wǎng)絡(luò)釣魚嘗試、論壇內(nèi)的超鏈接，還是通過搜索引擎，受害者都會訪問一個他們認(rèn)為是合法站點而不是欺詐副本的網(wǎng)站。受害者輸入的所有信息都被收集用于出售或其他惡意用途。

在互聯(lián)網(wǎng)的早期，這些類型的重復(fù)頁面由于其粗制濫造的工藝而很容易被發(fā)現(xiàn)。今天，欺詐網(wǎng)站可能看起來像是原始網(wǎng)站的完美再現(xiàn)。通過檢查 Web 瀏覽器中的 URL，通常很容易發(fā)現(xiàn)欺詐。如果 URL 看起來與典型的不同，則應(yīng)將其視為高度可疑的。如果列為不安全的頁面且 HTTPS 未啟用，則這是一個危險信號，幾乎可以保證該站點要么已損壞，要么受到網(wǎng)絡(luò)釣魚攻擊。

什么是魚叉式網(wǎng)絡(luò)釣魚？

這種類型的網(wǎng)絡(luò)釣魚針對特定的個人或公司，因此稱為魚叉式網(wǎng)絡(luò)釣魚。通過收集有關(guān)特定目標(biāo)的詳細(xì)信息或購買信息，攻擊者能夠發(fā)起個性化騙局。這是目前最有效的網(wǎng)絡(luò)釣魚類型，占攻擊的 90% 以上。

什么是克隆網(wǎng)絡(luò)釣魚？

克隆網(wǎng)絡(luò)釣魚涉及模仿以前發(fā)送的合法電子郵件并修改其鏈接或附加文件，以誘騙受害者打開惡意網(wǎng)站或文件。例如，通過獲取電子郵件并附加與原始附件同名的惡意文件，然后使用看似來自原始發(fā)件人的欺騙電子郵件地址重新發(fā)送電子郵件，攻擊者能夠利用初步溝通，以便讓受害者采取行動。

什么是捕鯨？

對于專門針對企業(yè)中的高級管理人員或其他特權(quán)用戶的攻擊，通常使用術(shù)語捕鯨。這些類型的攻擊通常針對可能需要受害者注意的內(nèi)容，例如法律傳票或其他行政問題。

這種攻擊方式的另一個常見載體是看似來自高管的捕鯨詐騙電子郵件。一個常見的例子是 CEO 發(fā)送給財務(wù)部門人員的電子郵件請求，請求他們立即幫助轉(zhuǎn)移資金。較低級別的員工有時會被愚弄，認(rèn)為請求的重要性和請求的人取代了再次檢查請求的真實性的任何需要，導(dǎo)致員工將大筆資金轉(zhuǎn)移給攻擊者。