為了實施有效的網絡攻擊對策，必須掌握用于執行此類攻擊的方法和策略的最新知識。本文的目的是幫助開發人員熟悉一類稱為“魚叉式網絡釣魚”和“捕鲸”的攻擊。

通過了解網絡釣魚是什麼，它的不同形式以及如何防止它，您将更容易保護您的數字資産免受網絡上最常見的網絡攻擊方法之一的侵害。

在最基本的形式中，網絡釣魚是惡意第三方企圖通過欺騙手段從毫無戒心的目标中獲取敏感信息（用戶名，密碼，社會安全号碼，信用卡詳細信息等）。

1. 目标收到一封電子郵件，其中包含分享某些敏感信息的請求，例如銀行帳号。電子郵件本身經過精心設計，看起來像是來自可靠的來源，例如您的銀行。

1. 目标心甘情願地洩露信息，此時攻擊可被視為成功，或者他們執行電子郵件請求的其他操作，例如跟蹤可疑鍊接或打開未知文件。
2. 在執行操作時，目标要麼被一些惡意代碼（如病毒）感染，要麼被帶到在後台提取其信息的網站。

網絡釣魚攻擊曾經大規模地進行，攻擊者同時使用相同類型的電子郵件瞄準大量人群，希望有人會采取誘餌（因此得名）。然而，一旦公衆意識到網絡釣魚詐騙，反網絡釣魚措施就變得越來越普遍。盡管如此，黑客并沒有放棄。因此，另外兩種進化形式的網絡釣魚變得突出 - 魚叉網絡釣魚和捕鲸。

魚叉式網絡釣魚是指網絡釣魚攻擊，可以使欺騙性電子郵件看起來更加可信，并提高其成功的可能性。為了實現這一目标，攻擊者将嘗試在目标上收集盡可能多的信息。通常，組織内的特定個人具有某些安全漏洞。

2016年對美國民主黨全國委員會的網絡攻擊是一個衆所周知的魚叉式網絡釣魚案例。被稱為Cozy Bear的俄羅斯黑客集體使用長矛網絡釣魚來定位與希拉裡克林頓2016年總統競選活動相關的電子郵件賬戶。但是還有另外一種網絡釣魚，那些使用它的人隻會在大魚身上祈禱。

捕鲸是另一種進化形式的魚叉式網絡釣魚。它指的是針對高級管理人員和組織内其他高級人員的網絡釣魚攻擊。通過使電子郵件内容具有個性化并專門針對相關目标進行定制來定義此類攻擊。

2016年，美泰公司的一位财務主管參與了一起備受矚目的捕鲸案。有問題的高管被欺騙，通過聽起來合理的電子郵件請求将300萬美元轉移給中國的假冒供應商。那麼，我們可以對這些類型的攻擊做些什麼呢？

網絡釣魚是社會工程的一種形式，因此，它依賴于人類行動者的颠覆才能獲得成功。因此，打擊網絡釣魚及其變體的最佳策略是提高組織内的安全意識。鼓勵您的團隊成員觀看免費的安全意識視頻，為他們提供安全設備，并在所有部門實施安全控制和相關技術對策。

• 浏覽器警報。Chrome，Firefox或Safari等Web浏覽器可以訪問已知網絡釣魚網站的列表，如果用戶無意中點擊了指向他們的鍊接，他們會發出警告。
• 專門垃圾郵件過濾器。使用這些内容的電子郵件客戶端可以減少對收件箱進行的網絡釣魚電子郵件的數量，或者提供郵件發送後的電子郵件去污。
• 增強登錄。有些網站使用難以通過網絡釣魚網站進行複制的高級用戶驗證形式，從而降低了用戶被欺騙網站欺騙的可能性。

網絡釣魚攻擊在網絡上很常見，而且每年都會越來越複雜。但是，有了正确的對策，特别是那些解決人為因素的對策，就可以保證組織的安全和受到保護。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!