用心做分享,只为给您最好的学习教程
如果您觉得文章不错,欢迎持续学习
有许多鲜为人知的网络钓鱼技术常被忽视或低估,但攻击者却越来越多地加以运用。
电子邮件网络钓鱼是目前最为常见的一种网络钓鱼形式。然而,还有不少鲜为人知的网络钓鱼手段,它们虽常被人忽略或轻视,可攻击者却日益频繁地使用。下面我们来简要看看其中一些主要的类型:
搜索引擎优化投毒每个月都会有成千上万的新网络钓鱼网站出现,其中许多都针对搜索引擎优化(SEO)进行了设置,以便在搜索结果中能被潜在受害者轻易发现。比如,若有人搜索 “下载 Photoshop” 或 “PayPal 账户”,很可能就会碰到一个伪装得很像的假网站,诱使用户分享数据或访问恶意内容。这种技术还有一种鲜为人知的变体,那就是劫持谷歌企业列表。诈骗者会窃取谷歌上合法企业的联系方式,让毫无防备的受害者误以为自己是在与授权代表交流而进行联系。
付费广告诈骗付费广告诈骗是黑客和诈骗者常用的流行技术。攻击者利用展示广告、点击付费广告和社交媒体广告来推广他们的广告并锁定用户,诱导受害者访问恶意网站、下载恶意应用程序或在不经意间分享凭据。一些不法分子甚至会在这些广告中嵌入恶意软件或木马(即恶意广告)来对用户进行网络钓鱼。
社交媒体网络钓鱼威胁行为者在热门社交媒体平台上有多种针对受害者的途径。他们可以创建虚假账号,模仿可信联系人、名人或政客,期望引诱用户参与其恶意内容或消息互动。他们能在合法帖子下发表评论,怂恿人们点击恶意链接;还可以推出游戏、博彩应用、调查测验、占星算命应用、金融投资应用等,以此从用户那里收集私人敏感信息。他们能发送消息引导用户登录恶意网站,也可以制作深度伪造内容来传播虚假信息、制造混乱。
二维码网络钓鱼所谓的 “二维码网络钓鱼”,即对二维码加以利用。诈骗者已经找到了利用这种非接触式技术的新奇办法。攻击者会在海报、菜单、传单、社交媒体帖子、假存款单、活动邀请函、停车计费器等地方贴上恶意二维码,诱使用户进行扫描或进行在线支付。研究人员发现,在过去一年里,二维码网络钓鱼攻击的数量增长了 587%。
移动应用网络钓鱼移动应用网络钓鱼是一种通过移动应用程序来攻击受害者的类型。通常,诈骗者会在移动应用商店分发或上传恶意应用程序,等待受害者下载并使用。这些应用可能看起来很正规,也可能是窃取个人数据或财务信息的仿冒应用,甚至可能被用于非法监视。研究人员最近在谷歌应用商店发现了 90 多款恶意应用,其下载量超过了 550 万次。
回拨网络钓鱼从名字就可以看出,回拨网络钓鱼是一种社会工程技术,攻击者诱导用户回拨到欺诈性的呼叫中心或服务台。虽然典型的回拨诈骗常涉及电子邮件,但也有许多变体,攻击者会用各种狡猾手段让人们回拨。比如,攻击者利用谷歌表单绕过网络钓鱼过滤器向受害者发送钓鱼信息。当受害者打开这些看似无害的表单时,就会看到一个要求拨打的电话号码。诈骗者还会给受害者发送短信或留下语音邮件,鼓励他们回拨。
基于云的网络钓鱼攻击随着组织越来越依赖基于云的存储和服务,网络犯罪分子也开始利用云来实施网络钓鱼和社会工程攻击。有很多基于云的攻击实例,比如攻击者向微软 Teams 和 SharePoint 上的用户发送网络钓鱼消息,利用谷歌绘图诱使用户点击恶意链接;他们利用亚马逊和 IBM 等云存储服务托管包含垃圾邮件网址的网站,并通过短信进行分发,还滥用微软 Sway 来提供网络钓鱼二维码等等。
内容注入攻击软件、设备、应用程序和网站通常都存在漏洞。攻击者利用这些漏洞将恶意内容注入代码或内容中,操纵用户分享敏感数据、访问恶意网站、发起回拨请求或下载恶意软件。例如,恶意行为者利用一个有漏洞的网站更新 “联系我们” 页面的超链接。访问者填写完表单后,就会看到一条消息和后续操作,其中包含指向有害下载的链接或显示一个由黑客控制的电话号码。同样,攻击者利用易受攻击的设备(如物联网设备)的消息和通知功能向用户发送网络钓鱼消息。
攻击者进行社会工程并针对用户的程度令人担忧。随着他们将人工智能工具纳入自己的手段库,这些攻击预计会变得更加激烈和复杂。只有通过持续提供安全培训并实施定期的意识提升计划,组织才能培养出抵御这些社会工程诈骗所需的抵抗力,确保员工保持警惕并能够保护敏感信息、金融资产和企业声誉。
本文仅作技术分享 切勿用于非法途径关注【黑客联盟】带你走进神秘的黑客世界