「DBP资讯·05」12种常用网络钓鱼手法，你知道多少？

每天，针对企业的网络钓鱼攻击都在发生。有些钓鱼涉及电子邮件和网站，有些通过移动APP或社交媒体平台，还有些可能会使用短信甚至是电话。

无论攻击者手法如何变化，最终目的大都是欺诈。在多年数字品牌保护实践中，我们总结了一些常见的钓鱼手法和特征，与大家分享。

鱼叉攻击是一种较为高级的网络钓鱼攻击手法。与普通的邮件钓鱼攻击不同的是，鱼叉攻击是一种借助构造特定主题和内容的邮件及带有恶意程序的附件，以吸引特定目标下载并打开附件的邮件钓鱼攻击行为。

一般来说，鱼叉攻击实施前，攻击者需要在前期对特定目标的工作职责、业务往来及活动规律等进行摸底侦察，据此再运用社会工程学方法构造定制化的钓鱼邮件。这些钓鱼邮件的主题、内容及文档标题均能与目标当前所关心的热点事件、工作事项或个人事务等相匹配，以降低目标对钓鱼邮件的防范心理，诱骗其下载附件中的带有病毒代码或者漏洞利用的伪装性攻击文档，实现精准、高效的载荷投递（即Kill Chain模型的第三个阶段）。

2.灯笼式钓鱼 Angler Phishing

灯笼式钓鱼，是一种新型的、基于社交媒体的钓鱼欺诈方法，常见于Twitter, Facebook和Instagram等热门社交媒体平台。欺诈者通过创建仿冒的品牌账号/门户，先吸引用户关注（灯笼式吸引），骗取信任后，再将用户诱导至实际的钓鱼链接，完成欺诈，这种手法常见于银行、电商、零售等行业。需要说明的是，除了仿冒企业，仿冒企业的管理人员或社会名人、明星等，也同样有效。

3.商业邮件欺诈

Business Email Compromise

商业邮件钓鱼欺诈，始终是全球恶意欺诈手法中的一大主流。

欺诈者通过注册与客户主体接近的域名，并发送相关邮件，利用社会工程学技巧，进行仿冒和欺诈活动。与纯粹的电子邮件欺骗(Email Spoofing，伪造电子邮件头，散播钓鱼网址链接或恶意附件)不同，这类邮件欺诈往往更加隐蔽，目标一般是公司管理层或财务等核心部门人员，其欺诈目标和意图也更高，给企业带来的危害更大。

因为攻击者常常仿冒企业的高级管理人员向较低级别的员工下达指令来进行，因此这类欺诈有时也会被称为CEO欺诈（CEO Fraud）。

4.克隆钓鱼 Clone Phishing

克隆网络钓鱼属于邮件欺诈中的一种手法，攻击者利用受害者已收到的合法邮件内容，创建其恶意复制版本来进行欺诈。

攻击会先将原始邮件的内容复制一份，但把其中的链接或附件替换为恶意内容，然后用一个看似合法接近的邮箱名称重新发送，借口一般是上一封电子邮件的链接或附件存在问题，诱使用户点击它们。这种方法也常常会生效。

5.域名欺骗 Domain Spoofing

域名欺骗是一种最常见的网络钓鱼形式，攻击者使用与企业非常相近的域名来仿冒企业本身或企业员工进行欺诈。

通常攻击者会注册一个与企业域名非常相似的域名，然后利用此域名发送电子邮件，或者搭建一个欺诈网站，欺诈网站会使用企业商标或视觉设计风格来进行仿冒，而邮件会尽可能采用企业业务相关的行业术语以增强其可信性。用户通常会被提示输入财务细节或其他敏感数据，并相信这些数据被发送到了正确的位置。

6.恶意孪生 Evil Twin

恶意孪生攻击是利用Wi-Fi进行的网络钓鱼形式，TechTarget.com将一个邪恶孪生描述为“伪装成合法Wi-Fi的流氓无线热点，攻击者可以在最终用户毫不知情的情况下收集个人或公司信息。”此类攻击也被称为作为星巴克骗局，因为它经常发生在咖啡店。

攻击者会创建一个看似真实的Wi-Fi热点，甚至设置成与真实网络相同的服务标识符（SSID），当最终用户连接时，攻击者可以窃听他们的网络流量并窃取他们的帐户名、密码，并查看用户在连接到恶意热点后访问的任何附件内容。

7.短信钓鱼 Smishing

Smishing短信钓鱼这种形式，利用了大家对短信和即时通信的依赖。攻击者发送看似来自合法来源、但包含恶意URL的文本消息，来诱使用户点击并下载恶意附件。短信可能伪装成折扣优惠券、中奖信息或节目免费门票的优惠等等形式。

避免短信钓鱼的最佳方法，是不要回应任何未经请求而来的短信。如果您没有注册文本通知，请不要在收到此类文本时单击该URL。如果对信息的真实性有疑问，遵循父母和/或老师小时候的教导：不要与陌生人交谈。

8.语音钓鱼 Vishing

Vishing语音钓鱼，是指通过电话进行钓鱼欺诈。当攻击者打电话给用户，试图让用户提供个人或财务信息时，就属于此类钓鱼。攻击者经常用自动呼叫来发起通话，如果用户陷入套路，会被转接至诈骗者直接进行对话。他们还会使用移动应用程序和其他技术来篡改甚至完全隐藏来电号码。

此类攻击者经常使用各种社会工程策略来诱骗用户提供信息。一般的方法是，他们会假装是有关部门、银行工作人员或公司相关管理人员，电话中会宣称用户有违法行为、或者信用卡有可疑活动需要立即关闭，等等方式。接下来。他们需要“验证”用户的个人信息，然后才能关闭卡并重新签发新卡，欺诈由此发生。

9.水坑攻击 Watering Hole Phishing

水坑攻击，顾名思义，是在受害者必经之路设置了一个“水坑(陷阱)”。最常见的做法是，攻击者分析攻击目标的上网活动规律，寻找攻击目标经常访问网站的弱点，先将此网站“攻破”并植入攻击代码，一旦攻击目标访问该网站就会“中招”。

水坑攻击手法针对的目标多为特定的团体（组织、行业、地区等），由于此种攻击借助了目标团体所信任的网站，攻击成功率很高，即便是那些对鱼叉攻击或其他形式的钓鱼攻击具有防护能力的团体，也会中招。

10.钓鲸 Whaling

钓鲸是一种鱼叉式网络钓鱼，很像CEO欺诈的反转版本，攻击者不针对组织内的低级别人员，而是针对高层，如首席执行官，首席财务官和首席运营官。

钓鲸的目标是经过精心挑选的，因为受害者价值很高，而被盗的信息将比普通员工提供的信息更有价值。与初级员工相比，CEO的账户凭证将打开更多的大门。

钓鲸需要依赖于社交工程，攻击者需要更好的了解目标。通常攻击者会先从互联网和各种社交媒体平台获取目标的相关信息，然后再用此信息设计有针对性的钓鱼。

11.雪鞋攻击 Snowshoeing

雪鞋攻击，又称为“肇事逃逸”垃圾邮件，需要攻击者通过多个域和IP地址推出消息。每个IP地址发送的邮件量都很低，基于信誉的反垃圾邮件过滤技术无法立即识别和阻止，因此在过滤规则更新之前，此类邮件就已经送达用户的收件箱。

类似的方式还包括冰雹运动Hailstorm，只是通过短信进行。和雪鞋攻击一样，信息在极短的时间内发出，等过滤引擎捕捉到并更新规则之时，攻击者已经转移到下个新目标了。

12.域欺骗 Pharming

域欺骗( Pharming )也被称为“无诱饵网络钓鱼”，最早出现在2004年，通过入侵DNS的方式，将使用者导引到伪造的网站上，因此又被称为DNS下毒（DNS Poisoning）。

域欺骗( Pharming )攻击不需要依赖于一个欺诈网站来引诱目标。攻击者通过攻击DNS，将流量重定向到他们的钓鱼网站。一旦受害者到达这个假冒网站，网络犯罪分子只是坐下来等待，而毫无戒心的用户照常登录，在不知不觉中泄漏了敏感个人信息。

关于天际友盟DBP

Digital Brand Protection数字品牌保护服务，是指通过持续自动监测互联网存量数据和流量数据，及时发现存在的钓鱼仿冒、非法使用品牌标识或其他知识产权侵权行为，并通过高效的处置、下线等关停措施，实现对网络欺诈和未经授权的品牌滥用的有效打击，帮助企业保护数字化的品牌价值。

数字品牌保护服务场景一览

除了占据“王牌”地位的钓鱼仿冒，天际友盟“数字品牌保护”服务，还覆盖许多其他的品牌风险场景，比如：

品牌侵权：与直接的钓鱼(仿冒)不同，攻击者通过未授权的网站、APP、社交媒体平台，滥用品牌Logo、商标，误导性地暗示与品牌之间的关联；或利用品牌知名度，注册与品牌相似的域名进行不正当竞争，以达到其恶意的目的。

数据泄露：企业用户信息泄露、市场战略、技术发明等核心内部资料遭到非法窃取，并公开在网站、文库、网盘、社交媒体等平台传播，不仅直接导致企业利益受损，也会给供应链环节的第三方企业造成不良影响，甚至导致供应链合作关系的破裂。

商业邮件欺诈：商业邮件欺诈，始终是全球恶意欺诈手法中的一大主流。欺诈者通过注册与客户主体接近的域名，并发送相关邮件，利用社会工程学技巧，进行仿冒和欺诈活动。与纯粹的电子邮件欺骗(Email Spoofing，伪造电子邮件头，散播钓鱼网址链接或恶意附件)不同，这类邮件欺诈往往更加隐蔽，目标对方一般是公司管理层或财务等核心部门人员，其欺诈目标和意图也更高，给企业带来的危害更大。

软件威胁误报：杀毒软件等厂商为了确保“绝对”安全，有时会拦截所有敏感操作，加之机器学习等技术手段不够成熟，如果提取到"混淆"特征，对客户网站、软件、手机APP文件存在一定程度的误判，会引发病毒误报等错误告警，令客户应用无法上线，损害品牌形象和商业收益。

RECOMMEND