常见的网络钓鱼诈骗以及如何识别和避免它们

黑坑技巧钓友圈2023-06-30 16:22:16A⁺A^-

网络钓鱼是身份窃贼，欺诈者和欺诈者窃取信息的一种方式。他们通过使用社会工程学或欺骗来做到这一点。目的是诱骗您泄露机密或个人信息，然后这些信息可用于欺诈目的，例如身份盗用。

他们需要获取足够的信息，以在互联网的虚拟世界或现代银行中模拟甚至取代您。这些信息可以作为您的法定全名，社会安全号码和家庭住址。它也可以像银行帐号，网上银行登录凭证，您母亲的娘家姓一样深入，甚至可以包含针对您的网上银行或PayPal帐户的秘密问题和答案。

1不同类型的网络钓鱼2网络钓鱼攻击最常用的策略是什么？3如何避免上钩4哪里报告网络钓鱼电子邮件5钩住后修复损坏6统计7小结

不同类型的网络钓鱼

针对不同群体的网络钓鱼有几种。最常见的网络钓鱼类型是一封简单的电子邮件，声称来自某人，该人似乎需要您的信息以完成对您有利的事情。有一些资金要求转入您的银行帐户，需要支付罚款以使您脱离监狱，要求提供税收和财务文件，或者几乎所有其他会导致您将攻击者发送给他们的东西要求。除了一般攻击之外，这里还有网络钓鱼攻击的一些更有针对性的变体。

鱼叉式网络钓鱼

鱼叉式网络钓鱼是网络钓鱼的一种目标形式。在鱼叉式网络钓鱼攻击中，攻击者在向您发送任何信息之前已经掌握了有关您的一些信息。他们监视您的社交媒体状态，以查看您是否发布了有关最近购买的任何信息。他们会密切注意您购物的在线零售商，在线购买的商品甚至约会网站。

如果您发推文说您刚从百思买那里购买了最新的iWatch，那么他们就会为他们的陷阱而烦恼。因为他们已经在关注您在社交媒体上的存在，所以他们对您有所了解，例如您的名字，以及您可能居住的城市。

然后，他们可以利用对您的了解来制作一封声称来自Best Buy的电子邮件。这封电子邮件可能声称您最近购买的信用卡存在问题，您需要填写其在线表格以验证您的卡信息。或者，他们可能声称自己是您的朋友，想知道您是否为新的iWatch安装了这个非常酷的应用程序。如果没有，他们会准备一个简单的注册表格，供您填写以获取该应用程序。他们甚至可能假装是约会网站上的某个人，声称您的个人资料需要先完成，然后才能获得更多视图。

正如我们今年早些时候报道的那样，这里的可能性几乎是无限的，并且可以包括勒索。

捕鲸或CEO网络钓鱼

由于网络钓鱼的全部目的是获得对信息的未授权访问，所以为什么不对网络钓鱼者进行网络钓鱼呢？以公司高层管理人员为目标的攻击者这样做是为了获得对当权者电子邮件帐户的访问权限。通过完全访问该帐户，他们可以访问任何员工的信息，进行欺诈性的电汇或对公司的任何部门造成严重破坏。

没有多少人会仔细检查以确保销售副总裁确实确实需要整个销售团队中所有HR的文件。实际上，您最后一次回复老板的指令是“真的吗？您确定需要吗？” 只是没有发生。

W2网络钓鱼

更加有针对性的捕鲸活动是，攻击者使用或欺骗高管的电子邮件帐户只是为了获取员工的W2或承包商的W9。税务季节是此类攻击最糟糕的时间，因为大多数公司的薪资部门已习惯于接收此类请求。

这些请求甚至不需要来自公司主管。他们可能被欺骗，似乎来自国税局，某个品牌的流行税软件的制造商，甚至来自注册会计师办公室。最有效的人似乎确实来自公司内部的高级管理人员，但似乎来自国税局却可以灌输足够的恐惧感以避免审查。

网络钓鱼提供勒索软件

2016年，据估计有90％的网络钓鱼电子邮件带有某种形式的勒索软件。网络钓鱼的目的是获取信息，但攻击者开始捆绑勒索软件程序包，以增加从这些攻击中获得的收入。

这些攻击者中最真正的阴险部分是相信，任何容易受骗并成为网络钓鱼受害者的人，在其文件和照片被锁定后也有可能支付赎金。不幸的是，本文末尾的统计数据支持了这一信念。

Vishing

随着IP语音（VoIP）技术的普及，一些网络钓鱼者已经开始简单地打电话给人们，尝试通过网络钓鱼来获取其信息。可以将VoIP服务器设置为模仿从网络银行到政府分支机构的网络钓鱼者几乎要模仿的任何实体。天空真的是这里的极限。

更改服务器提供的呼叫者ID信息的能力与选择服务器正在呼叫的区号的能力结合在一起，使骗子冒充孩子通过电话假装成别人。考虑到如今外包的数量，他们甚至不必以英语为第一语言就能在这方面取得一定的成功。

Smishing

根据2010年的一份报告，收到短信后三分钟之内阅读了90％的短信，阅读了99％的短信。难怪SMS消息已成为骗子针对受害者的又一载体。

就像其他任何网络钓鱼活动一样，诈骗者向成百上千个电话号码发送大量短信，并声称“您的信用卡/借记卡由于可疑活动而被停用。请拨打我们的免费电话以验证您的详细信息。” 或“您已被选中赢得$ 1,000的疯狂购物礼包。只需成为该网页的前100位访问者之一，即可领取您的奖金。” 同样，该策略旨在快速做出反应并收集有关受害者的尽可能多的信息。

网络钓鱼攻击最常用的策略是什么？

强烈的紧迫感要求您立即采取行动，以防止发生可怕的事情，例如扣押资产，锁定帐户，甚至逮捕他们将具有您需要填写的附件文件或带有个人信息字段的网站链接，供您填写

仿冒网站也是一种有效的方式，可以使毫无戒心的用户提交他们通常不会泄露的信息。这些可以是伪造的登录页面，旨在完全类似于受欢迎的公司或普通公司。据Symentec称，流行的云文件存储服务Dropbox的用户会看到一个伪造的登录页面，该页面由完全相同的云文件存储服务托管。

此策略的一个非常复杂的版本用于获取用户的登录凭据，该凭据由伪造的登录页面以纯文本格式记录，供攻击者以后使用。然后，使用提交的凭据将用户的浏览器重定向到真实站点的登录页面。总体效果是，用户登录时没有任何迹象表明他们的信息刚刚被盗。

然后，攻击者可以在闲暇时登录到用户的帐户并使用该帐户。他们还可以针对其他在线服务测试这些相同的凭据，以查看有问题的用户是否在其他地方（例如Gmail，Yahoo！，eBay或所有主要的在线银行网站）使用了相同的用户名和密码组合。

互联网不是唯一的网络钓鱼媒介。随着智能手机的普及，使用SMS消息和带有信息请求的手机号码的电话的使用也增加了。攻击者可能会更改呼叫者ID，以显示虚假信息，甚至使用具有潜在受害者本地电话号码的VoIP电话号码。

然后，他们可以声称自己是银行，其信用卡处理者，甚至是当地的执法部门。由于他们从事骗人的活动，因此只要能奏效，就没有任何要求是太离谱的了。

如何避免上钩

首先，不要惊慌。无论电子邮件，电话或网站怎么说，它都不会那么糟糕。如果是这样，您将不会通过电话，电子邮件中的预先录制的消息或在线时弹出式广告收到通知。

在移动设备上，阅读电子邮件时，您可以按住电子邮件中的链接以查看其去向。然后，您可以选择复制URL，在设备的默认浏览器中打开URL或取消选择。

对于欺诈性网站，要检查的主要内容是实际的站点地址，安全证书的存在以及任何此类证书的有效性。

特别是对于电子邮件，它有助于学习如何检查电子邮件标题详细信息，尤其是在需要立即采取行动的任何电子邮件上。即使是老板的东西也应仔细检查，以确保安全。仿冒者“欺骗”您认识和信任的人的电子邮件地址如此容易，您会感到惊讶。这更像是鱼叉式网络钓鱼攻击，但仍然相当容易实现。

如果电子邮件中包含看起来合法的链接，您仍然希望避免单击它或打开任何附件。大型公司（如PayPal）和大型银行不会发送带有附件的电子邮件。取而代之的是，任何重要文件要么通过蜗牛邮件发送，要么附加到您的在线帐户中。他们的电子邮件将仅让您知道有一条消息要您发送，并鼓励您登录您的帐户以查找该消息包含的内容。

尽管确实存在大量帐户数据泄漏，但大多数网络钓鱼者和骗子都不会去购买这些数据库。他们依赖于更多过时的方法，因为可悲的事实是，它们仍然有效。

鱼叉式网络钓鱼例外。这些电子邮件将发送给您，因为矛状网络钓鱼者已专门针对您。对此不要太偏执。他们可能正在监视数百个人，他们正等着他们发布可以用作诱饵的东西。

即使他们只得到百分之一的回报，那仍然是数百个身份，甚至是被盗的信用卡，现在都可以在暗网上出售它们，用来开设信贷额度，对现有信贷额度收取高额费用，甚至仅仅是将他们定位为其他骗局，例如现在臭名昭著的尼日利亚419。

统计

网络钓鱼和在线诈骗的问题变得如此严重，以至于目前有几家公司被雇用来收集和报告与这类攻击有关的事实。根据最近的一份报告，大约30％的网络钓鱼电子邮件被打开。基于一家公司的数据抽样，这被认为是保守估计。还有其他人声称这个数字可能高达50％，但缺乏支持他们的主张的确切数字。在另一份报告中，2016年发送的网络钓鱼电子邮件大量增加。