网络钓鱼攻击每年都会给企业带来比较大的损失和损害
Google和Facebook被网络诈骗损失很过1亿美元,即便是巨头公司也有可能成为网络犯罪钓鱼攻击的受害者。因此我们更应该了解网络攻击并进一步加强防范意识。
什么是网络钓鱼攻击?
一般来说,网络钓鱼诈骗是一种网络攻击,网络罪犯利用这种网络攻击诱导用户进入到诈骗网站,他们会通过发送大量的电子邮件来使毫无戒心的人上当受骗。
然而钓鱼网站已经进化了,现如今每天都有各种类型的钓鱼网站攻击企业网站。有的通过电子邮件和网站诈骗,有的可能通过发短信甚至通过打电话进行诈骗。攻击者使用这些方法的目的是让用户提供个人信息或账户信息,或者是把资金转入诈骗账户。网络犯罪行业已经达到了水平,据外媒报道称,到2021年,网络犯罪造成的损失预计将达到每年6万亿美元,而网络钓鱼将在其中占据重要作用。
10种类型的钓鱼攻击
1、冒充CEO欺诈或商务邮件欺诈
简单来说就是网络罪犯假装自己是公司的CEO或其他高管、经理等,向级别较低的员工(通常是会计或财务部门的员工)发送电子邮件,这些电子邮件的目的是让受害者将资金转移到一个虚假账户。
2、克隆网络钓鱼攻击
网络犯罪分子利用受害者已经收到的合法信息,创建一个恶意版本,使得带有恶意链接的信息看上去是来自合法的电子邮件地址发送的。
网络犯罪分子经常以上一封电子邮件的链接有问题为由,要重新发送原始邮件,来诱导用户点击克隆的钓鱼邮件。
3、域名欺骗
这种攻击方法使用电子邮件或欺诈网站。网络罪犯伪造了一个新的电子邮件头,使它看起来像是来自一家合法公司的电子邮件地址。或者创建一个欺诈网站,让它的域名看上去是合法的,或与合法公司的域名相似。
4、假冒WiFi钓鱼攻击
尤其是在一些公共场合,攻击者伪装成合法的WiFi接入点,在用户不知情的情况下收集个人或公司信息,甚至还会窃取用户的账户名和密码。
5、HTTPS网络钓鱼攻击
由于DVSSL证书只需要验证域名管理权,不验证企业身份,一些不法分子乘虚而入。不能看到安全挂锁和https就掉以轻心,还要在证书中查看网站信息。
这种攻击可通过安装OVSSL或EVSSL证书来防范,避免网站被不法分子仿冒,申请这两种证书可到环度SSL证书网(https://www.sslzhengshu.com)咨询客服。
6、短信诈骗
通过向用户发送短信,如中奖信息等诱导用户点开链接,进行诈骗。
7、鱼叉式钓鱼攻击
一般的网络钓鱼电子邮件使用类似垃圾邮件的策略,在大规模的电子邮件中攻击成千上万的人。而这种攻击会使用电子邮件收件人感兴趣的主题来诱使用户打开邮件并点击链接。
8、电话诈骗
通过电话方式诈骗,骗取受害者钱财。他们会假扮成银行的人,医院的人,警察等进行诈骗。
9、水坑钓鱼攻击
水坑钓鱼会攻击公司员工经常访问的网站,并感染其中一个网站并植入恶意软件。攻击者会去感染为您的公司提供服务的供应商的网站,这样当你或你的员工访问该网站时,你的电脑会自动装载恶意软件,这样攻击者就能访问您的网络、服务器和敏感信息(如个人信息和财务信息)。
10、捕鲸诈骗
捕鲸钓鱼是鱼叉式钓鱼的一种,与CEO欺诈相反。攻击者的目标不是低层人员,而是高层管理人员,如CEO、CFO等,其目的是诱使高管输入敏感信息和公司数据。这类攻击通常使用电子邮件和网站诈骗。
与一般网络钓鱼邮件不同的是这种攻击会通过互联网和各种社交媒体平台获取受害者的姓名、职位和基本细节。
怎样避免陷入各种类型的网络钓鱼攻击?
1、培训员工加强网络钓鱼安全防范意识
对于一切来历不明的、要求输入个人资料的电子邮件等要更加小心,万一不小心运行了可疑的东西,也要及时报告,以将损失降到低。
2、通过官方渠道核实可疑信息
如果你接到一个自称是银行的电话,涉及到财务,记得挂断电话,直接打银行卡背面的银行官方电话咨询。如果收到自称是CEO的电子邮件,想让你转账、发送敏感信息或其他任何可疑信息,直接给他们或者他们的助理打官方电话,不要依赖于可疑信息中提供的联系方式。
3、给网站安装SSL证书,对数据进行加密传输是基本的安全保障
SSL证书选购助手:https://www.sslzhengshu.com/guide/index.html