前言
网络钓鱼是网络威胁行为者广泛使用的一种技术,用于诱使潜在受害者在不知不觉中采取有害行动。这种流行的攻击媒介无疑是最常见的社会工程形式——操纵人们放弃机密信息的艺术——因为网络钓鱼既简单又有效。诈骗者每天发起数以千计的网络钓鱼攻击,而且通常会成功。
什么是网络钓鱼?
在 1990 年代,黑客通常被称为 Phreaks。在那些日子里,黑客行为被称为
phreaking。因此,使用诱饵(或多或少看起来很真实的电子邮件)来捕获或欺骗毫无戒心的计算机用户的行为采用了 phreaking
中的“ph”来代替钓鱼中的“f”,并成为现代网络钓鱼。
如今,网络钓鱼攻击中最常见的欺诈通信类型仍然是电子邮件,但其他通信形式(例如 SMS
文本消息)正变得越来越频繁。威胁实施者使用他们可以想到的任何方式让用户点击非法网页的链接并输入他们的计算机或银行系统登录凭据或下载恶意软件。
在现代网络钓鱼攻击中,威胁行为者使用熟练的社会人际互动来窃取或破坏有关组织或其计算机系统的敏感信息。最近的Egress 2021 Insider Data
Breach 调查显示,近四分之三 (73%) 的组织在去年遭受了由网络钓鱼攻击引起的数据泄露。
网络钓鱼诈骗通常是“矛尖”或攻击目标的第一部分。该攻击可能旨在窃取登录凭据,或者旨在诱使用户单击链接,从而在受害者的网络上部署恶意软件负载。一旦组织内的一个或多个用户成为精心策划的网络钓鱼活动的牺牲品,攻击者就会剔除凭据或提供发起全面攻击所需的恶意软件负载。
从网络钓鱼活动开始的攻击类型多种多样。黑客的目标可能是窃取凭据和其他个人身份信息
(PII),然后他们可以在暗网上出售这些信息,下载恶意软件进行勒索软件攻击,或者窃取有价值的信息作为工业或军事间谍活动的一部分。
民族国家和国家支持的高级持续威胁 (APT) 参与者使用网络钓鱼来获取受害者网络的存在以开始特权升级,最终可能严重危害我们国家的关键基础设施或金融机构。
直到几年前,发现网络钓鱼电子邮件通常还很容易。用户只需稍加检查就可以轻松识别出虚假的发件人地址、拼写错误或篡改过的链接
URL。今天的骗子要聪明得多。普通用户几乎无法检测到网络钓鱼电子邮件。
常见的网络钓鱼攻击类型
网络钓鱼对于不良行为者来说已经变得如此有利可图,以至于攻击各种受害者类型的方法已经发生了变化。今天至少有四类网络钓鱼攻击——每类都有特定的受害者类型。
欺骗性网络钓鱼
欺骗性网络钓鱼是迄今为止最为常见的网络钓鱼诈骗类型。通常是向收件人发送电子邮件,诈骗者冒充合法公司,试图窃取人们的个人数据或登录凭据,一旦您授予了相关的权限,黑客便会入侵您的银行账号,盗取您的资金或以您的名义进行消费。
鱼叉式网络钓鱼
与黑客使用广泛网络来吸引尽可能多的潜在受害者的常见网络钓鱼诈骗不同,鱼叉式网络钓鱼攻击更加集中。鱼叉式网络钓鱼窃贼通常针对特定群体的成员。它可能是攻击者瞄准的一家航空航天公司的员工,也可能是目标大学的学生、教职员工或教职员工。
鱼叉式网络钓鱼的成功率远高于普通广播式网络钓鱼,但也需要黑客投入时间和资源进行一些攻击前的研究。他们对目标了解得越多,他们成功的可能性就越大。
当某人收到来自他们认识的名字的电子邮件或短信,并且此人知道有关受害者公司或个人生活的详细信息时,他们更有可能信任电子邮件来源。
例如,如果一名员工收到一封看似真实的电子邮件,来自他们内部的某个人
公司要求他们点击链接并下载文档,如果细节似乎都适合公司的运作方式,他们可能会遵循这些说明。
该公司的网络对手在发起攻击之前需要进行大量研究,但结果很可能会成功
鲸鱼钓鱼
鲸鱼网络钓鱼类似于鱼叉式网络钓鱼,但有一些显着差异。虽然鱼叉式网络钓鱼通常针对某个团体的成员,但鲸鱼网络钓鱼则针对特定的个人——通常是目标组织中的“最大网络钓鱼者”,或者攻击者希望利用的拥有大量财富或权力的个人。
鲸鱼网络钓鱼还需要大量的攻击前研究。攻击者可能会花费数月甚至数年的时间来了解和修饰鲸鱼。无所事事者将从社交媒体和其他公共资源中了解有关其目标的一切信息。有时,犯罪分子会用鱼叉式网络钓鱼较小的标记来获取有关其鲸鱼目标的更多情报。
短信钓鱼
smishing 一词源自 SMS
网络钓鱼。网络钓鱼涉及文本消息而不是电子邮件。受害者通常会收到一条欺骗性的短信,以引诱收件人提供他们的个人或财务信息。诈骗者试图将自己伪装成政府机构、银行或其他公司,以使其索赔合法化。
诈骗者通常会寻找有关受害者的信息,例如帐户凭据、信用卡或借记卡号码和 PIN
码、社会安全号码、出生日期或敏感的健康相关信息。然后,这些信息将用于对受害者实施其他犯罪,例如金融欺诈。
网络钓鱼攻击实例
乌克兰电网网络攻击
乌克兰电网在 2015 年以网络钓鱼开始的攻击中被打断,这被认为是对电网的首次成功网络攻击。
该攻击被认为是由名为 Sandworm 的俄罗斯高级持续威胁组织发起的,它是由鱼叉式网络钓鱼诡计发起的,该诡计将 BlackEnergy
恶意软件的有效载荷倾倒到控制乌克兰电网的 SCADA 系统上。由此产生的分布式拒绝服务 (DDoS)
攻击使乌克兰大部分地区断电约六个小时。袭击发生两个多月后,电网控制中心仍未完全运作。
脸书和谷歌
在有史以来最昂贵的网络钓鱼攻击之一中,立陶宛黑客在 2013 年至 2015 年间向 Facebook 和谷歌发送了一系列伪造 發票 ,这些
發票 看起来像是来自台湾电子制造商广达电脑。两家公司都定期与广达有业务往来,所以假 發票 没有出现可疑情况, 發票 已经支付。
黑客通过鱼叉式网络钓鱼电子邮件将每家公司的特定员工作为目标,以访问他们的计算机并收集发起攻击所需的情报。总的来说,这些科技巨头向黑客支付了超过 1
亿美元。与之不同的是,48 岁的黑客 Evaldas Rimasauskas 被抓获,部分资金被追回。
克里兰银行
据 2016 年报道,这次鲸鱼网络钓鱼攻击的目标是比利时 Crelan 银行的一名高级管理人员,并指示立即向攻击者控制的账户发送约 7580
万美元。细节不多,但受害人答应了欺诈要求,钱也丢了。
这种鲸鱼网络钓鱼或商业电子邮件泄露 (BEC) 骗局有时被称为 CEO 欺诈,通常针对可能没有足够控制措施来防止此类欺诈的中小型公司。一家名为 FACC
的奥地利制造公司也遭到类似袭击,损失近 6000 万美元。
加州大学圣地亚哥分校
2021 年 7
月,加州大学圣地亚哥分校健康中心披露了攻击者在一次鱼叉式网络钓鱼攻击中劫持员工电子邮件帐户后发生的数据泄露事件。学校的数据泄露通知页面称,未经授权的访问很可能发生在
2020 年 12 月 2 日至 2021 年 4 月 8 日之间。
在最近的这起事件中,仍然未知的攻击者可能已经访问或获取了患者数据,包括全名、实际地址、电子邮件地址、出生日期、社会安全号码、政府 ID、用户名和密码。
也有可能暴露了与医疗保健相关的信息,包括化验结果、医疗诊断记录以及处方和治疗信息等。
如何避免网络钓鱼攻击
网络钓鱼电子邮件旨在欺骗潜在受害者可能熟悉的公司。在低预算、广泛传播的骗局中,攻击者通常会创建一封看似来自大银行或其他机构的电子邮件,然后将电子邮件发送到数十万个电子邮件地址。只有一部分收件人是被欺骗公司的客户,但黑客玩数字游戏不需要任何成本。他们知道,即使只有一小部分收件人是客户,而且这些人中只有一小部分落入了骗局,但他们仍然名列前茅。
常见的网络钓鱼伎俩包括在电子邮件中声明他们注意到了一些可疑活动或登录尝试——告诉潜在受害者点击电子邮件中的链接来纠正这种情况。大多数这些低预算的骗局很容易被发现。会有与企业电子邮件不一致的拼写错误或语言。发送电子邮件的地址通常可以识别为不属于声称发送电子邮件的公司。
低预算的群发电子邮件诈骗通常针对老年人,他们可能不知道如何检测表明网络钓鱼诈骗的明显线索。一个易于检测的发件人电子邮件地址示例是
BankofAmerica@gmail.com。对于熟悉电子邮件地址格式和商业电子邮件惯例的任何人来说,很明显美国银行不会使用 Gmail
帐户来接收客户电子邮件
避免网络钓鱼诈骗的主要规则是永远不要单击电子邮件中的链接,除非您确定该电子邮件来自您信任的人。大多数公司不会要求他们的客户点击电子邮件中的链接。如果一家公司要求您在其网站上与他们互动,请直接在您的浏览器中输入该公司的已知
URL,而不是使用电子邮件中的链接。
电子邮件垃圾邮件过滤器是一种有效但并非万无一失的工具,可用于抵御低预算的网络钓鱼攻击。
与您的电子邮件平台集成的垃圾邮件过滤解决方案使用一组规则来确定您传入的哪些邮件是垃圾邮件,哪些是合法的。垃圾邮件过滤器的几种类型包括内容过滤器、标题过滤器、黑名单过滤器、权限过滤器和质询-
响应过滤器。每个都对您收到的电子邮件应用一组不同的规则,并且有助于检测网络钓鱼诈骗。
网络威胁实施者一直在寻找新的和创新的方法来绕过垃圾邮件过滤器来欺骗电子邮件或 SMS
用户,使他们能够窃取敏感信息或提供破坏性的有效负载。除了垃圾邮件过滤器之外,用户还应该采取一些措施来避免成为网络钓鱼攻击的受害者。
在包括手机在内的所有数字设备上使用安全防病毒软件和其他适当的安全软件,并应用自动更新设置以确保您获得最新的保护。
对于包含敏感信息的所有帐户,如果可用,请使用多因素身份验证。这种额外级别的保护可确保即使您成为凭据剔除网络钓鱼骗局的受害者,恶意行为者也无法访问您的帐户。
始终备份您的数据。网络钓鱼是勒索软件攻击的常见前奏。您可以通过维护当前备份来减轻在勒索软件攻击中对数据进行加密的不利影响。
总结
网络钓鱼只是对许多古老的伎俩的现代转折,这些伎俩诱使人们放弃可用于对付他们的信息。从窃听到邮件篡改,犯罪分子一直试图窃取信息,以此作为发动其他攻击的先兆。
每个人都必须肩负起保护自己免受欺骗和欺骗的责任。有一些软件工具,例如垃圾邮件过滤器和防病毒软件,可以提供帮助,但归根结底,我们都必须始终警惕,甚至对电子邮件和
SMS 通信保持一点怀疑。
到邮件篡改,犯罪分子一直试图窃取信息,以此作为发动其他攻击的先兆。
每个人都必须肩负起保护自己免受欺骗和欺骗的责任。有一些软件工具,例如垃圾邮件过滤器和防病毒软件,可以提供帮助,但归根结底,我们都必须始终警惕,甚至对电子邮件和
SMS 通信保持一点怀疑。
题外话
初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:
2023届全国高校毕业生预计达到1158万人,就业形势严峻;
国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。
一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。
6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。
2022届大学毕业生月收入较高的前10个专业
本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。
具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-y5UiEquR-1693105773532)(C:\Users\Administrator\AppData\Roaming\Typora\typora-user-images\image-20230809162658551.png)]
“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。
网络安全行业特点
1、就业薪资非常高,涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!
2、人才缺口大,就业机会多
2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-bjFLIu24-1693105773533)(C:\Users\Administrator\Desktop\网安思维导图\享学首创年薪40W+网络安全工程师 青铜到王者技术成长路线V4.0.png)]
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-hVJFbwkj-1693105773534)(C:\Users\Administrator\Desktop\网安资料截图\视频课件.jpeg)]
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
3499
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
