中国领先的IT技术网站
|
|
创建专栏

看什么看!钓的就是你这条鱼!——浅谈现今的钓鱼攻击

钓鱼邮件在现今信息社会新环境下已经成为了企业的巨大威胁,动辄用户数据泄露,抑或服务器宕机。钓鱼邮件危害巨大。

作者:柯力士信息安全|2017-09-02 06:48


大家想想,在社交网络里(weibo也算,具有社交属性的都算),我们对很多专属于这个社交网络的风格元素是不是习以为常了,比如漂亮的登录页面、设置页面、修改密码页面、弹出层、聊天框、发消息界面等等,天天见,天天用,对这样的风格习以为常了,哪天出现一个风格类似的新功能(比如提示“密码异常,修改密码”的弹出层),也不会怀疑,还以为是新增的友好功能……

网络钓鱼

这些对于JavaScript来说都是可以伪造的啊,而且可以超级似真的伪造,代码量也不用多少,为什么呢?这得感谢那些伟大的前端工程师,他们封装了很多超级方便的接口:)

只要一个XSS(跨站脚本攻击),就可以引入任意JavaScript代码,鬼魂一般,伪造了一个看起来真的假界面,钓到了想要的关键数据,目的就达到了。其实在真实的高级攻击里,如果能不钓就不钓,多了交互就多了攻击复杂度,一段JavaScript也许通过一些Hacking技巧就能拿到如明文密码、隐私资料等数据,只要一招。而这,正成为钓鱼邮件的

在社交网络里,用户体验好作为第一要素,对于攻击者来说,攻击也会讲究用户体验好,哪怕没有XSS,也可以完成攻击,想想,如何伪装界面?只是利用XSS的攻击更加原汁原味(我常说的原生态攻击方式)。

钓鱼无非就是欺骗,在社交网络里利用XSS进行的高级钓鱼攻击真的让人防不胜防,这种攻击我很早就提出,我感觉已经在逐渐流行了,这就是为什么这两年经常有人提到的“美工黑客”,恩,黑客为了生存,开始更猥琐了,开始接触美工了,美工的目的就是视觉欺骗。而这让个人用户防不胜防,那么企业又面对着怎样的威胁呢?

网络钓鱼

钓鱼攻击在现今信息社会新环境下已经成为了企业的巨大威胁,动辄用户数据泄露,抑或服务器宕机。钓鱼攻击危害巨大。

钓鱼邮件针对的是人,所以要对策钓鱼邮件必须以人为本,从员工防范意识开始进行普及。

网络钓鱼

让所有的员工知道现今针对性钓鱼攻击的新现实。大家都知道旧式网络钓鱼电子邮件是什么样子,错别字满篇、可以轻易得到的几百万美金的承诺等等,这些已无须太担心的了。要向员工解释新的针对性钓鱼电子邮件,告诉他们针对性钓鱼电子邮件是出自职业罪犯之手,职业罪犯知道如何将电邮做得像是来自被同事信任的人。

首先!

在点击运行程序或打开不明文件时要先用别的方法(如电话或即时通讯)确认。随时确认在今时今日必须成为日常核实工作的一部分。随时报告任何可疑的东西。必须对不知来源的,不受信任的邮件提高警惕,而假如不小心运行了什么不明程序,应该及时报告。最起码,亡羊补牢为时未晚,受到钓鱼邮件攻击不是值得羞愧的事情,由于攻击太复杂,任何人今天都可能被骗,即便是安全专家也不例外。

其次!

员工要学会认识钓鱼邮件的特征,企业也可以使用假冒的钓鱼手法来对员工进行测试。这样员工在遇到钓鱼邮件的同时,可以提前发现其威胁,如果做法的当,员会工质疑任何来历不明的、要求输入个人资料的电子邮件并且在执行程序时更加小心。

最后!

亲身体验,现身说法的效果极好,如果针对性钓鱼的做法不幸在员工身上得逞,可建议员工针对自身经历写出自己疏忽犯错的地方,并且以真实的网络钓鱼电子邮件做范例进行鉴别,最终达到疏而不漏,强化意识的目的。

预防的关键是要让大家认识到,今时今日的针对性钓鱼与过去的事不可同日而语。

【本文为51CTO专栏“柯力士信息安全”原创稿件,转载请联系原作者(微信号:JW-assoc)】

戳这里,看该作者更多好文

【编辑推荐】

  1. Android平台的恶意攻击、检测与防护
  2. 预警:Eternal Synergy变种可攻击更高版本的Windows
  3. 移花接木:针对OAuth2的攻击
  4. 他们一直在暗中注视着——暗网与黑客,潜伏的威胁
  5. 浅谈侧信道攻击 - 什么是数字时代的隔空取“数”?
【责任编辑:IT疯 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

热门职位+更多

× 学习达标赢Beats耳机