【网络安全】网络钓鱼的类型

news2025/4/25 16:53:01

1. 网络钓鱼简介

网络钓鱼是最常见的社会工程学类型之一，它是一种利用人为错误来获取私人信息、访问权限或贵重物品的操纵技术。之前，您学习了网络钓鱼是如何利用数字通信诱骗人们泄露敏感数据或部署恶意软件的。

有时，网络钓鱼攻击会伪装成来自值得信赖的个人或企业。这可能会导致毫无戒心的收件人违背自己的判断，从而破坏安全程序。在本文中，您将了解当今攻击者常用的网络钓鱼策略。

2. 网络钓鱼的起源

网络钓鱼自互联网诞生之初就已存在，其历史可以追溯到 20 世纪 90 年代。当时，世界各地的人们才刚刚开始接触互联网。随着互联网的普及，它开始引起恶意行为者的注意。这些恶意行为者意识到，互联网为他们提供了一定程度的匿名性，从而实施犯罪。

2.1 早期说服策略

最早的网络钓鱼案例之一是针对一款名为 AOL Instant Messenger (AIM) 的热门聊天服务。该服务的用户开始收到要求他们验证账户或提供个人账单信息的电子邮件。用户并不知道这些邮件是由冒充服务提供商的恶意攻击者发送的。

这是大规模网络钓鱼的首批案例之一，大规模网络钓鱼是指向大量人群发送恶意电子邮件的攻击，从而增加诱骗某人落入陷阱的可能性。

在 AIM 攻击期间，恶意攻击者精心制作了看似直接来自 AOL 的电子邮件。这些邮件使用了官方徽标、颜色和字体，诱骗毫无戒心的用户分享他们的信息和账户详情。

攻击者利用窃取的信息创建了虚假的 AOL 账户，并利用这些账户匿名实施其他犯罪活动。AOL 被迫调整其安全策略以应对这些威胁。该聊天服务开始在其平台上添加消息，警告用户警惕网络钓鱼攻击。

2.2 网络钓鱼是如何演变的

随着企业和新技术开始进入数字化领域，网络钓鱼在世纪之交持续演变。21世纪初，电子商务和在线支付系统开始成为传统市场的热门替代品。在线交易的出现为攻击者提供了新的犯罪机会。

这一时期出现了许多钓鱼技术，其中许多至今仍在使用。以下是五种常见的网络钓鱼类型，每个安全分析师都应该了解：

电子邮件网络钓鱼是一种通过电子邮件发送的攻击，其中威胁行为者假装是受信任的个人或实体发送消息。
短信网络钓鱼是一种利用短信服务 (SMS) 的网络钓鱼，SMS 是一种支持文本消息的技术。短信网络钓鱼涵盖所有形式的短信服务，包括 Apple 的 iMessage、WhatsApp 和其他手机聊天工具。
语音网络钓鱼是指使用语音电话或语音消息诱骗目标通过电话提供个人信息。
鱼叉式网络钓鱼是电子邮件网络钓鱼的一个子集，其专门针对特定人群，例如小型企业的会计师。
捕鲸是指针对组织中高级管理人员的一类鱼叉式网络钓鱼攻击。

自网络钓鱼出现以来，电子邮件攻击一直是最常见的攻击类型。虽然电子邮件网络钓鱼最初被用来诱骗人们分享访问凭证和信用卡信息，但它后来逐渐成为一种利用恶意软件感染计算机系统和网络的流行手段。

2003年末，世界各地的攻击者创建了类似eBay和PayPal™等公司的欺诈网站。此外，他们还针对电子商务和银行网站发起了大规模的网络钓鱼攻击，散播恶意程序。

2.3 近期趋势

从 2010 年代开始，攻击者开始不再使用大规模网络钓鱼攻击，不再依靠诱骗毫无戒心的人落入陷阱。利用新技术，犯罪分子开始实施所谓的“定向网络钓鱼”。定向网络钓鱼是指使用高度定制的方法向特定目标发起攻击，以营造强烈的熟悉感。

2010 年代兴起的一种定向网络钓鱼攻击类型是钓鱼者网络钓鱼。钓鱼者网络钓鱼是一种攻击者在社交媒体上冒充客服代表的技术。这种策略源于人们喜欢在网上抱怨企业的倾向。威胁行为者会拦截来自留言板或评论区等平台的投诉，并通过社交媒体联系愤怒的客户。与 20 世纪 90 年代的 AIM 攻击类似，他们使用与真实企业账户相似的欺诈账户。然后，他们诱骗愤怒的客户分享敏感信息，并承诺解决他们的问题。

3. 关键要点

多年来，网络钓鱼手段日趋复杂。遗憾的是，目前尚无完美的解决方案能够有效阻止此类攻击。像上个世纪兴起的电子邮件网络钓鱼等手段，至今仍是网络犯罪分子有效且有利可图的攻击手段。

目前尚无技术解决方案可以完全阻止网络钓鱼。然而，有很多方法可以减少此类攻击造成的损害。其中一种方法是传播安全意识并告知他人。作为一名安全专业人员，您可能有责任帮助他人识别各种形式的社会工程攻击，例如网络钓鱼。例如，您可以创建培训项目，对员工进行网络钓鱼等主题的培训。与他人分享您的知识是一项重要的责任，有助于构建安全文化。