Geekly articles weekly

语音钓鱼:我们分析攻击方法和针对它们的防护方法

图片


网络钓鱼是一种使用社会工程学原理的在线欺诈。 这是使者或社交网络中的电子邮件,电话,SMS或消息,试图诱使用户传输其机密数据,下载某些恶意文件或进行汇款。 为此,发件人似乎是其他人,对此请求引起的怀疑较少。


鱼叉式网络钓鱼是针对较小人群的网络钓鱼的一个亚种。 根据攻击者的意图,这可能是某种组织,一组雇员或一个人。 在这种情况下,接收到的消息将专门为有限的人群设计。 在这样的攻击过程中,攻击者可以尝试:


  • 获取机密数据(银行卡数据以窃取金钱);
  • 在目标设备上安装恶意软件;
  • 为勒索或转售给竞争对手而获取组织的机密和机密数据;
  • 获取军事数据。

网络钓鱼与目标网络钓鱼之间的区别


  1. 目标选择。 网络钓鱼是按照“喷雾和祈祷”(传播和等待)的原则进行工作的:大量人散布了准备好的信息,以希望至少可以欺骗其中的一个。 定向网络钓鱼是定向攻击。 它的目标是特定的公司,特定的雇员或特定的人,因此仅将消息发送给他们。
  2. 攻击者的技能水平。 网络钓鱼所需的技能较少,最初是针对大量失败而设计的。 有针对性的网络钓鱼作为一种有针对性的攻击,更加复杂并且使用更先进的技术,并且还需要进行更多的初步培训。
  3. 检测能力。 从上一段还可以得出,定向网络钓鱼比常规网络钓鱼更难检测。
  4. 攻击的目的。 由于这两种攻击中的任何一种,攻击者都可能试图获取登录名,密码或其他数据,但是网络钓鱼意味着可以快速获得收益,例如金钱。 在这种情况下,攻击者不太可能会对从未知人员的邮件中获取十个帐户感兴趣。 使用针对性的网络钓鱼,即使目标是电子邮件密码,这也将是有意义的一步。 攻击者也许知道此邮件中存储了有价值的信息,但这很可能只是多级攻击的一个阶段。

进攻路线


使用电子邮件示例来考虑定向网络钓鱼攻击的进展。


首先,攻击者进行了大量准备工作,以查找有关目标的信息。 这可以是电子邮件地址,也可以是承包商的名称,也可以是承包商的名称,同事的爱好,最近的购买或其他可从社交网络上获悉的信息-任何有助于使收件人混淆信头并使其真实可信的信息。
然后,攻击者利用从可访问来源获得的所有数据,代表受害者熟悉的人(同事,家庭成员,朋友,客户等)撰写一封网络钓鱼信。 发送的邮件应具有紧迫感,并说服收件人在回复中发送个人信息,通过单击信函中的链接进行输入,或将恶意软件从附件中下载到信函中。
在某些情况下,对于攻击者来说,在理想情况下,在字母“起作用”后,在目标计算机上安装了后门,从而可以窃取必要的信息。 它被收集,加密并发送给攻击者。


保护方法


技术保护手段:


  1. 垃圾邮件过滤器 可以将其安装在邮件服务器上。 某些网络钓鱼电子邮件可以通过其内容来识别。 的确,如果您尝试以这种方式过滤掉所有不需要的电子邮件,则极有可能出现误报,因为网络钓鱼电子邮件(尤其是具有针对性的网络钓鱼)是模仿合法邮件的。
  2. 检查信件发件人的地址。 字母中指定的发件人和标题中的实际发件人可能不匹配。 过滤器还可以检查,例如,发件人的域与公司的域相似,但拼写错误。
  3. 在信件中扫描附件中是否有病毒,并在沙箱中扫描。 收件人收到包含可执行附件的信件之前,已通过防病毒检查或在沙箱中启动了该信件。
  4. 包含附件中的链接和可执行文件的印刷体字母。 对上一段进行了更严格的修改,但实际上在某些地方使用了它,并防止了某些攻击媒介。

无论采取什么技术保护措施,邮箱中仍然可能有多余的字母。 因此,值得注意信件中的可疑内容:


  1. 发件人


    • 这是您通常不与之交流的人。
    • 您并不熟悉发件人,并且您所信任的人都没有为此提供担保。
    • 您与发件人没有业务关系,并且以前从未进行过交流。
    • 公司外部人士的来信,不适用于您的工作职责。
    • 您知道发件人,但是该信以这种人非常不寻常的方式书写。
    • 明确说明了发件人的域(例如sbrebank.ru)。

  2. 收件人。


    • 在收件人中,除了您之外,还有其他人,但是您对他们都不熟悉。

  3. 参考文献


    • 当您将鼠标悬停在字母指示的链接上时,很明显,实际上,单击时将要单击的链接是完全不同的。
    • 除了信件中的链接外,没有其他内容。
    • 该链接包含与知名站点相似的地址,但是它犯了一个错误。

  4. 收到日期。


    • 在不寻常的时间收到电子邮件。 例如,它与工作有关,但在非工作时间深夜发送。

  5. 信的主题。


    • 信件的主题与信件的文字不相关。
    • 该主题被标记为对您从未实际发送过的信件的答复。

  6. 附件。


    • 发件人已在您未期望的信件上附加了一个文件(通常您不会从此人处收到此类附件),或者与信件的内容无关。
    • 附件具有潜在危险的扩展名。 唯一安全的文件类型是.txt。

  7. 信件的内容。


    • 发送者要求跟随链接或打开附件,以避免任何负面影响,或者相反,获得有价值的东西。
    • 文本看起来不正常或包含许多错误。
    • 发件人要求跟随链接或打开看起来奇怪或不合逻辑的附件。
    • 发件人要求您通过邮件或SMS发送机密数据。


显然,仅了解和遵守这些规则还不够。 也有必要将此信息传达给公司中的其他人。 当已知攻击可能发生时,抵御攻击要容易得多。 培训员工并向他们告知网络钓鱼攻击非常重要。 不时进行社会技术测试以确保成功获取信息也可能很有用。


总结


由于人们已成为最终的前沿,因此抵制社会工程学的攻击是最困难的。 攻击者也可能知道所有保护技术的方法,因此他可以发明一种绕过它们的方法。 但是,了解和执行简单规则会大大降低成功攻击的风险。
是否想确保您的系统受到良好保护? 或者您对如何向员工传达信息感兴趣? 与我们联系,我们将很乐意进行社会技术测试或提供培训帮助并谈论此类攻击。

Source: https://habr.com/ru/post/zh-CN472368/

More articles:


All Articles