如今,垃圾邮件早已为人所熟知。这种邮件往往给某种产品做广告,其发送者利用从各种源头获得的邮件地址清单,发送大量的垃圾邮件。它一般都没有特定的目标,发送者依靠接收者的绝对数量为其提供收入。
垃圾邮件成为一种有利可图的业务方案,但它一般并无恶意,且其内容一般并不涉及到恶意软件或病毒。
而网络钓鱼实际上是一种特殊形式的社交工程。网络钓鱼者一般不会盲目地将成千上万的邮件发送给随机用户,而是往往有着具体目标。钓鱼一般是通过电子邮件或恶意网站来发起的,其意图是通过扮演某个用户已经认识或信任的人来获得用户信任。其获取用户信任的手段是使用用户已经认识的人的邮件地址或姓名,或是使用有名望的机构的名称来取得用户的信任。其扮演的机构可包括银行、电子商务网站(如京东),或是其它公司或企业。“这些机构”的邮件消息可能要求用户的账户信息去验证其身份,或者可能提示用户:你的账户或货物发生了问题。钓鱼攻击也可以由即时消息通信、文本通信、打电话等来发起,但其基本伎俩却是类似的。
钓鱼攻击还可以利用慈善机构或企业的名称或声誉,甚至可以利用当前发生的事件(如埃博拉病毒的暴发)、灾难(如地震、洪水泛滥)等。
钓鱼邮件或网站往往利用恶意软件、病毒或其它恶意代码来破坏用户的计算机,并获取关于用户的进一步的信息。其发出的消息可能指出用户的名字,看起来就如同来自亲朋、同事,或是来自企业正在合作的伙伴。换句话说,这类邮件可能在多个方面看都是合法、合情、合理的。
虽然今天钓鱼攻击的基本概念并没有什么变化,但是,其实施和利用漏洞的手段已经发生了变化。在2014年下半年以来,一种新型的攻击开始利用常见的钓鱼技术,并部署银行恶意软件。这种钓鱼邮件的目的是欺骗接收者打开附件中的PDF文件(如标题为“未付款发票”的文件)。
这种攻击的有效手段为银行恶意软件,它利用的是一个新的Adobe漏洞。虽然此漏洞并不是零日漏洞,但补丁的部署和更新往往姗姗来迟。攻击者就是利用这种延迟,部署其钓鱼机制,并耐心等待,在发现新漏洞时,就可以快速发动攻击。
还有另一种形式的钓鱼威胁也值得一提,因为它依赖的是一种不同类型的东西,即欺诈软件。这种恶意软件不会窃取或检索用户的个人信息(姓名、银行信息凭证等等),这种恶意软件可以加密受感染的计算机上的文件,并要求用户付款。
用户为何屡屡中招
钓鱼攻击早已横行多年,而且其伎俩具有相当的连续性,但用户仍屡屡中招。为什么?三个主要的因素可概括如下:
信任:IT领域之外的人们,特别是IT安全领域之外的人更容易相信别人。如果这些用户收到了一份电子邮件消息,告诉其信用卡信息遭到泄露,或是忘记了付款,这些用户就有轻信的倾向。如果用户收到了某个认识的人的邮件,就很容易相信。
恐惧:为什么说恐惧是这类钓鱼攻击成功的因素?信用卡信息遭到泄露的新闻屡屡见诸各种媒体,还有一些大型企业遭到黑客攻击,成千上万的客户记录被泄露。人们一般都担心自己会有财务损失,或者其信用受到负面影响。钓鱼邮件就是利用人们的这种心理,要求用户快速做出响应。
缺乏认识:教育一直是信息安全的首要工作。多年以来,安全专家们都知道人员是防御阵线中的最薄弱环节。在网络钓鱼问题上,尤其如此。如果不理解这一点,势必会出问题。许多人至今都不理解与使用互联网及其资源有关的各种风险。电子邮件及其附件、网站、文件下载等每天都有可能给员工和企业带来各种风险。
作者:赵长林
来源:51CTO