ZH
我们已经习惯了满是垃圾邮件的电子邮箱。但现在的电子邮件客户端(如 Gmail 或 outlook)已经足够智能,可以自动为你过滤这些邮件,确保把它们扔进无底的垃圾邮件文件夹。但如果你打开这个潘多拉盒子,就会发现一些相当有趣的邮件。有些显然是你最喜欢的商店、银行或政府机构发来的。但也有一些能够通过,它们是诈骗者游戏规则中的重要工具。
网络钓鱼,即欺诈性的群发邮件引导天真的用户进入看似合法但实为虚假的网站,并在网站上提示用户透露个人信息,如账号或密码。
- Sid Kirchheimer
如上定义所示,网络钓鱼利用消费者对网站或品牌的熟悉程度,诱骗他们提供信息。但这也可能延伸到下载用户通常不会下载的恶意软件。这都归因于他们对品牌/网站的信任,以及如何降低他们的警惕性。但这并不局限于个人攻击,近来企业网络钓鱼的增长也很突出。
骗子利用这种形式获取信息或推送恶意软件。由于我们越来越多的通信都是通过互联网进行的(无论是银行业务、电子商务还是政府管理等),这一渠道被认为对骗子来说更有利可图。
通过群发邮件,骗子可以保持匿名,同时在全球范围内发送大量的网络钓鱼邮件,(对他们来说)最好的部分是,这比使用一般的垃圾邮件更加个性化。以消费者熟悉的服务和品牌为目标,成功率更高。
以下是网络钓鱼骗子想要的数据清单!
网络钓鱼问题对骗子来说是一个利润丰厚的行业,一个深深植根于技术的行业。就像任何技术行业一样,它也在不断变化和发展。
过去,网络钓鱼的目标主要是个人,骗子们希望通过人对人的方式进行诈骗。然而,2018 年出现了这种转变。网络钓鱼世界的主要推动者已经将目光投向了企业界,组织机构现在也成为了他们的目标。首要目标是电子邮件和在线服务(占所有攻击的 26%),超过了金融机构(21%)。
针对软件即服务(SaaS)的攻击也出现了增长,增幅高达 237%。此外,还有针对社交媒体平台的攻击。如前所述,用户对这类平台的依赖性和信任度在不断提高,网络钓鱼欺诈者正在利用这一点。
美国仍然是骗子的首选目标,攻击次数也在不断增加。事实上,86%的攻击都以美国为目标。其他主要目标包括印度、土耳其和哥伦比亚。但这并不意味着其他地区的攻击数量没有减少。加拿大、意大利和法国在 2017 年的活动有所减少
网络钓鱼网站本身的实际位置也描绘了一幅有趣的画面。根据 PhishLabs 的数据,大多数网络钓鱼网站都位于 "受损的网络托管网络 "上。到目前为止,最受欢迎的选择是美国(56%),法国(4%)、德国(4%)和英国(3%)远远落在后面。此外,49% 的钓鱼网站使用 .com TLD(顶级域名),这表明钓鱼欺诈者希望用户觉得他们是在一个可靠可信的网站上。
一个非常令人担忧的趋势是,网络钓鱼欺诈者正在适应消费者用来保护自身安全的安全指标。其核心是网站使用的认证。用户从各种渠道了解到,要注意这一特殊指标,将其作为信任的标志。他们的这一假设曾经是正确的,因为在 2016 年,只有 5%的钓鱼网站拥有这一证书。然而,这个数字在 2017 年猛增,现在有近三分之一的钓鱼网站拥有 HTTTPS。
通常情况下,网络钓鱼者倾向于使用恶意创建的注册域名,而不是入侵合法网站。这一变化的催化剂可以追溯到免费托管服务提供商的使用。
案例研究:URL 填充
为了欺骗毫无戒心的用户,骗子们变得越来越聪明。为了让用户觉得自己是在一个合法网站上,他们会在URL中添加连字符等符号,同时包含品牌URL的合法部分。
例如www.amazon------------------/shoes/converse.tk
这就利用了大多数手机屏幕空间较小的特点。因此,用户很可能会看到 www.amazon----- 部分。再加上精心设计的假冒网站,往往就足以让用户相信其真实性。
手机用户在全球不断增长。作为一个平台,手机包含了轻松定位的途径。
您使用的是最新款手机吗?如果没有,你是否曾一次又一次地忽略 "立即更新 "的通知(更糟糕的是,也许制造商已经停止提供更新......)。这一点,再加上可以下载的无数应用程序(质量有问题),意味着其对网络钓鱼的重视程度急剧上升。
1.想点击随机链接?三思而后行!
当打开电子邮件或信息并看到超链接(指向不同网站的链接)时,一定要谨慎。超链接通常隐藏在文字或图片中。如果您不能百分百确定电子邮件的合法性,请三思而后行,看看是否能通过简单的谷歌搜索找到该页面。
2.外观和感觉:拼写/语法和格式
这是识破骗局的经典方法。网络钓鱼骗子就像互联网本身一样,是全球性的生物。因此,他们试图与你交流的语言可能不是他们的母语。与大型组织的通信部门不同,他们没有时间、耐心或知识来检查自己的语言。这也延伸到照片等媒体的使用上。这些照片通常看起来很奇怪,分辨率低或裁剪奇怪。
你真的认为合法公司会允许这些信息传递给他们的客户吗?不会,所以当你看到这种情况时,请三思而后行!
3.要求提供个人信息
如果有邮件或信息要求您提供账户信息、用户名/密码或其他类似信息,请务必三思。机构绝不会通过电子邮件或信息要求提供此类信息,因为他们知道这些信息不安全。此外,对于一个机构来说,要求提供敏感信息和他们已经知道的信息是没有意义的。
4.紧急或威胁
网络钓鱼欺诈的另一种策略是关注迫在眉睫的威胁。这可能包括您的账户被关闭、可疑交易需要尽快处理等。此外还有明确的威胁,如如果不采取某种行动,就会被罚款或起诉。
银行或政府当局等组织被用来增加这种压力。骗子就指望着你会担心或慌乱......但不要中了他们的圈套。深吸一口气,真正考虑一下该组织是否会以这种方式询问或索要此类信息。如果您有疑问,请使用搜索引擎收集该组织的详细联系信息,并确认他们是否真的向您发送了此类信息。
所以,骗子们,在外面一定要小心,避开这些 "钓鱼者 "给你留下的陷阱。如果您遵循上述提示并运用您的常识,您就能做好一切准备!
