网络钓鱼常见手段以及技术防范措施

网络钓鱼常见手段以及技术防范措施

引用

CSDN

1.

https://blog.csdn.net/alittlehippo/article/details/144291660

网络钓鱼是一种通过伪装成合法的实体（如银行、电商平台、政府机构等），利用电子邮件、短信或社交媒体等渠道，诱骗用户提供敏感信息（如用户名、密码、信用卡信息等）的欺诈行为。

网络钓鱼常见手段

电子邮件钓鱼

• 伪装发件人：攻击者会伪造发件人的电子邮件地址，使其看起来像是来自知名的公司、银行、政府机构或其他可信赖的组织。例如，将发件人显示为 “[银行名称] 客服中心 service@bank.com”，但实际上这是一个虚假的地址。
• 制造紧急事件或诱惑内容：邮件内容通常会制造一种紧迫感或提供极具吸引力的信息，诱使用户采取行动。如声称 “您的账户存在异常交易，请立即点击链接核实” 或 “恭喜您获得巨额奖金，点击此处领取”。这些链接会将用户引导到一个看似合法的钓鱼网站。
• 附件钓鱼：除了链接，攻击者还会在邮件中添加恶意附件。附件可能是一个伪装成文档、电子表格或其他常见文件类型的可执行文件。一旦用户下载并打开附件，恶意软件就会感染用户的设备。

短信钓鱼（SMS Phishing，简称 Smishing）

• 假冒机构短信：类似于电子邮件钓鱼，攻击者会假冒银行、运营商或其他服务提供商发送短信。例如，短信内容可能是 “您的手机账户积分即将过期，请点击链接兑换礼品”，链接指向的是钓鱼网站。
• 利用短链接隐藏真实目的：短信中的链接通常是短链接，用户很难通过链接本身判断其真实性。短链接在用户点击后会重定向到钓鱼网站，而用户在点击前很难知晓最终的目的地。

社交媒体钓鱼

• 虚假账号与信息发布：攻击者会创建与真实品牌或个人相似的虚假社交媒体账号。他们在这些账号上发布吸引人的内容，如虚假的抽奖活动、限时优惠等信息，引导用户点击链接或提供个人信息。例如，假冒某知名品牌发布 “关注我们并转发此条微博，就有机会赢取最新款手机，点击链接报名”。
• 恶意应用程序推广：在社交媒体平台上推广看似有用但实际包含恶意代码的应用程序。用户下载安装这些应用后，可能会导致个人信息泄露或设备被控制。

语音钓鱼（Vishing）

• 伪装客服电话：攻击者通过电话伪装成银行客服、技术支持人员或其他官方机构工作人员。他们会以账户安全检查、系统升级等理由，诱骗用户在电话中透露个人信息，如银行卡号、密码、验证码等。例如，声称 “为了保障您的账户安全，我们需要核实您的银行卡密码”。
• 利用语音留言诱导回拨：留下带有紧急事项的语音留言，诱导用户回拨电话。当用户回拨时，会被引导到一个自动语音系统，该系统会要求用户输入各种敏感信息。

技术防范措施

邮件安全防护

• 使用反垃圾邮件工具：企业和个人可以部署专业的反垃圾邮件软件或服务，这些工具可以对邮件进行过滤，识别和拦截大部分垃圾邮件和钓鱼邮件。它们通过检查邮件的发件人地址、邮件内容、链接和附件等多个因素来判断邮件是否为钓鱼邮件。
• 邮件内容过滤与识别技术：采用内容过滤技术，对邮件中的关键词（如 “紧急”、“账户异常”、“奖金” 等常见钓鱼词汇）、链接格式（是否为异常域名或短链接）和附件类型进行分析。例如，如果邮件包含一个.exe 附件且来自一个可疑的发件人，就可以将其标记为潜在风险邮件。
• 发件人身份验证（SPF、DKIM 和 DMARC）：配置和验证邮件发送方策略框架（SPF）、域名密钥识别邮件（DKIM）和基于域的消息认证、报告和一致性（DMARC）。这些技术可以帮助验证邮件的真实来源，减少伪造发件人地址的钓鱼邮件的成功率。

网络访问控制与安全浏览

• 使用安全的 DNS 服务：安全的 DNS 服务可以帮助用户避免访问钓鱼网站。当用户输入网址时，DNS 会将域名解析为 IP 地址。安全的 DNS 服务能够识别并阻止对已知钓鱼网站的访问，将用户重定向到安全页面或者提示用户访问的网站可能存在风险。
• 安装网页过滤软件或浏览器插件：这些工具可以根据已知的钓鱼网站列表和行为模式来阻止用户访问钓鱼网站。它们还可以在用户访问可疑网站时弹出警告，提醒用户注意风险。
• 浏览器安全设置与更新：保持浏览器的安全设置处于较高水平，如启用防钓鱼保护功能、阻止弹出式窗口（因为钓鱼网站经常通过弹出窗口诱骗用户）。同时，及时更新浏览器版本，因为浏览器更新通常包含安全补丁，可以修复已知的安全漏洞，防止钓鱼攻击利用这些漏洞。

移动设备安全防护

• 安装安全应用程序：在移动设备上安装可靠的安全软件，这些软件可以扫描短信、应用程序和链接中的风险。例如，当用户收到包含钓鱼链接的短信时，安全软件可以检测到并提醒用户。
• 谨慎安装应用程序：只从官方应用商店下载应用程序，避免从不可信的第三方来源安装应用。官方应用商店通常会对应用进行安全审核，降低恶意应用的风险。同时，在安装应用时，仔细查看应用的权限请求，避免安装权限要求过多且不合理的应用。

用户教育与培训

• 安全意识培训：开展网络安全意识培训，向用户普及网络钓鱼的常见手段和防范方法。例如，培训内容可以包括如何识别钓鱼邮件（如检查发件人地址、链接真实性、语法错误等）、如何避免在不安全的网站输入个人信息等。
• 模拟钓鱼攻击测试：企业可以定期进行模拟钓鱼攻击测试，向员工发送模拟钓鱼邮件，统计员工的点击率和中招情况。根据测试结果，针对性地加强安全意识培训，提高员工的防范能力。