鱼叉式网络钓鱼的定义

鱼叉式网络钓鱼是一种网络攻击类型，专门针对个人或组织，通过量身定制的钓鱼信息欺骗收件人，获取未授权的敏感信息或系统访问权限。与一般的网络钓鱼尝试不同，鱼叉式网络钓鱼是个性化的，并使用量身定制的内容来诱骗人们泄露机密数据。

鱼叉式网络钓鱼的工作原理

鱼叉式网络钓鱼攻击涉及几个关键步骤：

1. 广泛的研究：攻击者对目标进行深入研究，收集信息，如职位、在线资料和近期活动。这使他们能够创建看起来可信且与收件人相关的消息。

2. 伪造身份：网络钓鱼信息经过精心设计，看起来好像来自可信来源，如同事、商业伙伴或朋友。攻击者经常使用与预期发件人非常相似的电子邮件地址和名字，进一步增加了成功的机会。

3. 定制内容：鱼叉式网络钓鱼信息的内容是高度个性化的，利用研究阶段收集到的信息。这可能包括对近期项目、个人兴趣或特定角色责任的引用。通过显得相关和合法，这些消息增加了收件人上当受骗的可能性。

4. 恶意负载：鱼叉式网络钓鱼信息可能包含恶意链接或附件。点击这些链接或打开附件可能会在收件人的设备上安装恶意软件，或将他们重定向到一个假登录页面，以捕获他们的凭据。这使攻击者能够获得未授权的敏感信息或系统访问权限。

预防提示

为了防御鱼叉式网络钓鱼攻击，个人和组织可以采取以下预防措施：

1. 员工教育：教育员工了解鱼叉式网络钓鱼的风险，以及在收到意外或不寻常的电子邮件时保持警惕的重要性。提供关于如何识别钓鱼指标的培训，如可疑的电子邮件地址、语法错误或紧急要求个人信息。

2. 多因素认证：鼓励使用多因素认证（MFA），即使登录凭据被泄露也能增加一层额外的安全性。MFA要求用户在访问敏感系统或数据之前，除了密码外，还需提供额外的验证，如发送到他们移动设备的唯一代码。

3. 电子邮件认证协议：实施电子邮件认证协议，如DMARC（基于域的消息认证、报告和符合性）、SPF（发件人政策框架）和DKIM（域密钥识别邮件）。这些协议通过检查电子邮件头来帮助验证传入电子邮件的合法性，并防止伪造的电子邮件到达收件人的收件箱。

鱼叉式网络钓鱼攻击的例子

例子1：商业电子邮件妥协

在一种被称为商业电子邮件妥协（BEC）的鱼叉式网络钓鱼攻击中，攻击者针对组织的高管或财务部门。他们创建欺诈邮件，看似来自高级管理人员或可信的合作伙伴，要求紧急电汇或敏感财务信息。由于这些信息经常看起来真实且紧急，员工更有可能遵从，从而导致组织遭受重大财务损失。

例子2：政府机构被攻击

鱼叉式网络钓鱼攻击也针对政府机构和公众官员。攻击者可能假装成可信的政府实体或官员，以欺骗收件人提供机密信息或获取政府网络的未经授权访问。这些攻击可对国家安全和公民信息的隐私产生严重影响。

统计数据和最新进展

• 根据Verizon的2020年数据泄露调查报告，钓鱼攻击涉及到所有泄露事件的22%，其中90%的攻击归因于钓鱼电子邮件。
• COVID-19疫情为鱼叉式网络钓鱼攻击提供了新机会，攻击者利用人们的恐惧和不确定性，诱使个人点击与疫情相关的恶意链接或打开感染的附件。
• 在2021年，联邦调查局（FBI）报告COVID-19疫情期间针对远程工作的鱼叉式网络钓鱼攻击有所增加。攻击者利用远程工作环境带来的漏洞以及对数字通信平台的依赖性增加。

相关术语

• Phishing：钓鱼是一种更广泛的网络攻击类型，试图通过广撒网来诱使个人泄露敏感信息。与鱼叉式网络钓鱼不同，钓鱼攻击不是个性化的，通常依赖于发送给大量收件人的通用消息。
• Whaling：捕鲸是一种专门针对高调个人或高管的鱼叉式网络钓鱼形式。攻击者通过诱使这些人泄露敏感信息或凭据来获得未经授权的重要数据或系统访问。捕鲸攻击通常通过精心设计的消息来操纵目标的心理。