让我们从一些基本问题开始:什么是网络钓鱼?我们把它定义为:以对收件人施加影响或获得个人信息为目的,发送看似来自权威来源的电子邮件。简单地说,网络钓鱼就是坏人发送一些鬼鬼祟祟的电子邮件。网络钓鱼结合了社会工程学和诈骗技巧。它可能是一个电子邮件附件,会加载恶意软件到你的计算机,也可能是到非法网站的一个链接,这些网站会诱骗用户下载恶意软件或泄露个人信息。此外,鱼叉式网络钓鱼是一种非常有针对性的攻击方式。攻击者花时间对目标进行研究,然后创建与目标个人信息相关的或者私人化的电子邮件。正因为如此,鱼叉式网络钓鱼非常难以检测,也更加难以防御。

在这个星球上,任何一个拥有电子邮箱的人可能都收到过网络钓鱼邮件。根据报告里的数据来看,许多人都点击过邮件里的链接。不过要明白,点击链接这个行为并不能说明你笨,这只是一个由于你没有考虑周全而犯下的错误,或者是由于你没有足够的信息而做出的一个错误决定。(我有一次开车从密西西比州的比洛克西市出发,一口气开到了亚利桑那州的图森市,这才是真的笨。)

可以说网络钓鱼攻击的目标和攻击者都有常见的类型。网络钓鱼者的动机往往相当典型:钱或信息(通常也和钱有关)。如果你曾收到电子邮件,敦促你协助被废黜的王子转移他继承的遗产,那么说明你也是骗局中的一部分。富有的人毕竟是少数,但是当一群普通人捐赠小额的“转账费”以协助王子进行周转时(往往是钓鱼邮件中提出的要求),网络钓鱼者就大发其财了。或许你曾收到过来自银行的电子邮件,让你提供个人信息。如果你的身份被盗,那么可能会导致严重的后果。

其他可能的目标包括任何一家公司的普通职员。虽然职员单独掌握的信息可能有限,但把登录信息误交给黑客,会让黑客得以进入公司网络。如果黑客认为收获足够大,那么攻击可能到此结束;否则这也可能是另一起更大攻击的开始。

除了普通人以外,还有一些高价值目标,包括大公司或者政府的高层人员。在组织中的地位越高,越有可能成为鱼叉式网络钓鱼攻击的目标,因为攻击者所花费的时间和精力将会得到不菲的回报。这时整个经济体而非个人的损失会非常严重。

如果攻击者并非普通犯罪,动机也不是迅速赚钱,那么攻击的理由和攻击者本身就会变得非常可怕。有些人出于政治目的或者个人信仰而让大型组织难堪。举个例子,最近很多案例中都提及了叙利亚电子战部队(Syrian Electronic Army,SEA),他们的钓鱼攻击给一些媒体造成了损失,包括美联社(AP) ①、美国有线电视新闻网(CNN)② 和福布斯(Forbes) ③等。显然,钓鱼攻击也造成了经济损失。举个例子,对美联社的Twitter账号进行攻击,导致美联社的道琼斯指数下跌了143个点(见图1-1)。这可是不小的损失。媒体本身的公信力和声誉也受到了影响。我们可以为哪个后果更严重而争论一整天。不过从积极的方面来说,它确实也让我们反思:社交媒体真的是用来获取可信的爆炸性新闻的最佳途径吗?

enter image description here

往更深处说,让我们从公司或者国家层面谈谈网络间谍活动。这里我们讨论的是商业秘密、全球经济和国家安全。在这一点上,即使是最无知的公民都清楚后果。

我想说,网络钓鱼其实与每个人都息息相关,而不仅仅是与安全人员相关。你可能不会每天都思考网络间谍的问题,但是你肯定关心自己的银行账户和信用卡积分。我的母亲仍然没有搞清楚如何在她的电话上查看语音邮箱(真事),但她的确知道不应该打开来自陌生人的电子邮件。你的母亲也应该遵循这条规则。

你现在知道什么是网络钓鱼、是谁发动的钓鱼攻击以及他们为什么要发动钓鱼攻击了。接下来看看他们是怎样进行网络钓鱼攻击的吧。

① Geoffrey Ingersoll, “Inside the Clever Hack That Fooled the AP and Caused the DOW to Drop 150 Points,”November 22, 2013, http://www.businessinsider.com/inside-the-ingenioushack-that-fooled-the-ap-andcaused-the-dow-to-drop-150-points-2013-11.

② Tim Wilson, “Report: Phishing Attacks Enabled SEA to Crack CNSS’s Social Media,” January 1, 2014,http://www.darkreading.com/attacks-breaches/report-phishing-attacks-enabled-seato-crack-cnns-social-media/d/d-id/1141215?

③ Andy Greenberg, “How the Syrian Electronic Army Hacked Us: A Detailed Timeline,” February 20, 2014,http://www.forbes.com/sites/andygreenberg/2014/02/20/how-the-syrian-electronic-army-hacked-us-adetailed-timeline/.

评论

本文目前还没有评论……

我要评论

需要登录后才能发言
登录未成功,请修改提交。