魚叉式網絡釣魚是一種更有針對性的網絡釣魚攻擊。在這里，肇事者不只是向成千上萬或數以萬計的收件人發送庫存電子郵件。相反，他們會向每個目標發送一封個性化的電子郵件。只有在犯罪者完成研究并了解受害者的具體細節后才會發送該電子郵件，這將鼓勵目標采取行動。這些關鍵細節使犯罪者能夠以這樣一種方式起草電子郵件，以灌輸對受害者的信任，并鼓勵他們做一些他們可能不會做的事情。

魚叉式網絡釣魚攻擊通常訴諸人類的貪婪或恐懼。這意味著他們要么向目標提供金錢、折扣、討價還價等，要么通過說他們的支票、PayPal 或 eBay 賬戶已被凍結來威脅目標采取行動。

為了鼓勵他們的受害者采取行動，魚叉式網絡釣魚攻擊的肇事者將首先找到他們的受害者并收集關鍵細節，以確保任何策略都是可信的。例如，他們可能會在社交網站上搜索個人的個人資料，并從那里收集目標的電子郵件地址、地理位置、工作場所、朋友列表以及最近購買的任何新的大件物品以及從哪里購買的。僅此類細節似乎無害，但加在一起使犯罪者能夠制作出危險有效的電子郵件。

在他們的魚叉式網絡釣魚電子郵件中，犯罪者將使用這些信息冒充朋友、同事、老板或其他熟悉的實體，以發送極具說服力但最終具有欺詐性的信息。黑客還結合使用電子郵件欺騙和動態 URL 來使電子郵件看起來更有說服力。

魚叉式網絡釣魚的工作原理

網絡釣魚計劃是旨在誘騙受害者放棄個人詳細信息的任何基于網絡或電話的計劃。該信息隨后被用于某種騙局。這是一種常見的黑客行為，大多數網絡釣魚計劃的實施者以數千人為目標，目的是愚弄少數人。以著名的“尼日利亞王子”騙局為例。在這個網絡釣魚騙局中，成千上萬的人會收到提供大筆資金的電子郵件，條件是收件人為他們轉賬。大多數人會刪除電子郵件，但每年都會有一些人不這樣做。那些成為獵物的受害者可能會因騙局而損失數千甚至數萬美元。

然而，由于越來越多的人已經意識到此類騙局，并且由于業務 IT 組和電子郵件服務器加強了安全性，網絡釣魚者變得更加專業化。 這就是魚叉式網絡釣魚黑客技術發展的地方。

魚叉式網絡釣魚的例子

魚叉式網絡釣魚的工作原理及其外觀的示例和場景包括：

對個人進行魚叉式網絡釣魚： 犯罪者發現目標使用的銀行，并使用欺騙性電子郵件和復制的網站憑據，向目標發送一封電子郵件，說明帳戶已被入侵。該電子郵件將利用散布恐懼的手段讓目標撥打電話或點擊鏈接以提供機密銀行信息（例如用戶名和密碼），以確認他們是真實賬戶持有人。然后，犯罪者將使用該信息來吸走金錢。

魚叉式網絡釣魚企業： 針對公司的魚叉式網絡釣魚攻擊與針對個人的網絡釣魚攻擊類似，肇事者將首先進行研究，然后使用該研究來起草看似合法的騙局。但不同的是規模。 當網絡竊賊發現公司高管的關鍵細節時，網絡公司 Ubiquiti Networks Inc. 深諳此道。竊賊隨后利用這些細節制造了假裝是公司高管的惡搞通信，并指示公司財務部門發起未經授權的國際電匯，金額高達 4670 萬美元。

避免魚叉式網絡釣魚攻擊的 5 種保護策略

魚叉式網絡釣魚攻擊看起來合法但非常危險。以下是個人和企業都可以用來幫助防止此類攻擊的肇事者獲取關鍵數據和使用數據獲取關鍵帳戶的一些技巧：

1. 避免在網上發布個人信息，例如個人電話號碼。每個人都應該避免在他們的社交媒體平臺上發布他們的電話號碼，并避免將他們的電話號碼輸入到未知（甚至是最知名的）網站和移動應用程序中。電話號碼與社會安全號碼一樣是識別一個人及其完整財務背景的關鍵。借助 SIM 卡交換和網絡釣魚詐騙等技術，一個人基本上可以接管一個人的所有財務賬戶。

2. 切勿單擊未知的電子郵件鏈接或附件，尤其是來自金融或商業機構的電子郵件。 使用電子郵件安全最佳實踐. 魚叉式網絡釣魚攻擊的肇事者通常會偽裝成受害者經常光顧的受信任機構發送電子郵件，例如美國銀行、亞馬遜和 eBay。個人通過個人商業電子郵件收到的任何電子郵件都不應完全信任。切勿單擊此類組織的鏈接，而是啟動單獨的瀏覽器窗口并直接訪問該機構的網站以調查索賠并照常開展業務。應謹慎考慮來自朋友、最喜歡的博客作者或非營利組織的任何其他電子郵件。檢查錨文本，切勿在從電子郵件單擊的鏈接上輸入個人詳細信息或其他機密信息。

3. 小心在社交媒體上過度分享。請注意他們社交媒體資料上的個人詳細信息以及他們允許訪問的人員。保持較高的隱私配置，避免接受未知的好友請求。

4. 所有組織都應實施全面的數據保護計劃。數據保護計劃結合了關于最佳數字安全實踐的 用戶教育和安全意識培訓 ，以及旨在防止魚叉式網絡釣魚等網絡攻擊導致潛在數據丟失的批發網絡保護解決方案的實施。

5. 將機密信息排除在電子郵件之外。最喜歡的魚叉式網絡釣魚策略是從看起來有信譽的地址向員工發送電子郵件，并要求提供敏感信息，例如密碼或商業銀行詳情。

保持警惕并保持安全

任何人和任何組織都無法避免成為網絡竊賊的目標。如果您的信息在互聯網上，或者您的智能手機下載了應用程序，那么您就是這種和其他復雜網絡攻擊的潛在目標。防止跌倒的最好方法是時刻保持警覺。保持信息機密，切勿信任外部來源，并聯系經驗豐富且專業的安全解決方案團隊，以確保業務資產同樣受到保護。