江苏龙网

  1. 首页 > 人文 > >

『栈外』互联网最成功的骗局,网络钓鱼( 二 )


但上述模式并为针对特定目标 。 而诱使某人在电子邮件或其他地方点击一个钓鱼链接则是有针对性的攻击 , 也被称为鱼叉式网络钓鱼:了解某人的生活和习惯 , 知道什么样的电子邮件会让他们不假思索地点击 。
为一个人或一种人建立现实 。 骗局开始了 , 布景建好了 , 演员雇好了 , 这些都通过网络浏览器完成 。
2016年初 , 奥地利航空零部件制造商FACC的电子邮件服务器上收到一封钓鱼邮件 , 请求紧急付款 , 这是所谓的“假总裁”骗局的一部分 。 “假总裁”骗局中 , 通常有一位权威人士发出紧急信息 , 称需要AP立即将资金汇入某境外账户 。
FACC收到电子邮件之后操作了该次电汇 , 该公司损失了4,000多万欧元 , 并解雇了CEO 。
2016年 , 希拉里·克林顿竞选团队主席约翰·波德斯塔受到鱼叉式网络钓鱼攻击 , 该事件十分有名:他收到了一封电子邮件 , 称有人试图在乌克兰登录他的Gmail账户 。
2018年末 , Microsoft发现并关闭了六个域名 , Microsoft认为这些域名是由一个被称为俄罗斯陆军主要情报局 , 或格鲁乌(GRU)的组织创建的 , 其目标是保守党的智库(美国国际共和学会和哈德逊研究所)和美国参议院 。
我们目前还不清楚这些钓鱼网站到底是什么样子 , 也不知道它们是如何工作的 。 据Microsoft所知 , 还没有人受到这些网站攻击 , 但他们也不知道还有多少人会被鱼叉式钓鱼电子邮件或虚假电话诱骗 , 点击恶意链接 。
赫利研究了网络钓鱼经济学以及安全建议的有效性 , 说道:“直至今日 , 网络钓鱼中真正的问题是……针对证书的鱼叉式网络钓鱼 。 这仍然是其在企业网络中站稳脚跟的一个非常成功的媒介 , 虽然只是少数 , 但很难被发现 。 ”
在政治和工业间谍事件中 , 每一个潜在的受害者都值得研究和了解 , 来为他们的私人定制骗局建造一个合适的场景 。
网络钓鱼和恶意软件并不是唯一的选择 。 将网络钓鱼与恶意软件相结合是最有效的方法 , 通常是以精心制作的电子邮件形式 , 且附件中往往含有一份重要的、紧急的文档 。
但这不是一份文件 , 或者说不仅仅是一份文件 。 这是一个恶意软件 , 当你点击附件时 , 你告诉你的电脑你想安装这个软件 , 但你实际上并不知道这是软件 。
电脑服从了你的指令 , 并通过这样的操作无形中把自己交给了发给你软件的人 。 这种方法通过你来控制你的电脑 , 曾被用来对付全世界的采访人员和活动家 , 可能还有很多其他人 , 但我们知道的只有采访人员和活动家 。
更可怕的是 , 在大多数情况下 , 一个像样的假网站使攻击者无需昂贵且可检测的恶意软件 , 就能得到他们需要的任何东西 。
你只是点击了一个链接 , 输入了用户名和密码 , 也许页面会显示一个错误 , 其中包含指向真正网站的链接 , 但这只是网络生活中的一个小插曲 , 一会儿就被忘记了 。 想到这可能就会使人感到不知所措 。
你理所当然地认为应当有人来解决这个问题 , 而你所说的“人”指的是科技公司 。
Microsoft、Google或任何一家科技公司最多只能尝试检测恶意软件和网络钓鱼网站 , 并阻止它们与互联网对话——堵塞通往场外博彩地下室的大门 。
这被称为“黑洞” , 但因为在互联网上建一百座地下室并不比建一座难多少 , 所以把解决问题的任务抛给科技公司也行不通 。 用户是网络钓鱼中最薄弱的环节 , 科技公司无法提供可靠的更新来改变或阻止用户行为 。
赫利说:“我们确实在技术修复方面进行了大量投入 , 比如更好的威胁检测、更好的网络保护、进行了例如AccountGuard项目和捍卫民主项目等的努力 , 以及鼓励对高价值账户进行双因素认证 。
但也含有教育成分;我们希望实施保护 , 让用户不再发起技术支持请求 , 但这样又是行不通 。 ”


推荐阅读


上一篇:「这些地方最好玩」新iPhone细节曝光,3英尺水深中浸泡30分钟

下一篇:『搞机者』iPhone11与XS性能对决:实测A12与13处理器差距有多大