你如何定义网络钓鱼?
“网络钓鱼”这个词,尽管无处不在,并没有真正的定义。对网络钓鱼定义几乎没有达成共识。这对很多不同的组织来说意味着很多不同
我们向数十家组织询问了他们如何定义网络钓鱼。我们得到了各种各样的回复,真正强调了当前网络安全行业面临的最大问题之一:并非每个人都在同一页上关于每个组织面临的最大威胁。
91%的网络攻击始于电子邮件。但是那些被归类为“网络钓鱼”的电子邮件的百分比因组织而异。同样,对于一个单一的网络钓鱼定义没有达成共识。
现在,这并不是说任何这些网络钓鱼定义都是错误的。相反,这是关于这些定义是否足够远,或者它们是否可能走得太远的讨论。显然,我们现在无法确定共识,但仍然值得一提:您如何定义网络钓鱼?
定义的定义
在我们进入我们收到的各种定义(并决定强调)之前,让我们先谈谈定义本身。希望这将为我们的批评提供信息。
通常,我们在高频率下看到了两种类型的网络钓鱼定义。第一,更多的是对网络钓鱼本质的真正定义。这源于古典思想和亚里士多德,后者认为一个词的基本属性是其“本质性”的原因,并且所述词语的任何定义都必须包含它们。
这是一个例子,这个网络钓鱼定义来自基于云的SaaS公司QuickSilk的首席执行官Garry Brownrigg :
“简单来说,网络钓鱼可以定义为不良行为者尝试访问敏感信息,如用户名,信用卡详细信息和密码。黑客通常通过充当电子邮件或即时消息的合法发件人来尝试这样做.“
此定义坚持网络钓鱼的基本属性:
由坏演员犯下
希望妥协信息
通过冒充合法的发件人来完成
这不一定是广泛的网络钓鱼定义,但它更多地依赖于使其成为网络钓鱼的特定属性,而不是担心它的各种排列。这种定义更适合我们的需求。
我们用频率看到的其他类型的定义是所谓的扩展定义。扩展定义确实担心各种排列。实际上,它通过列出包含网络钓鱼的每种类型的攻击来定义网络钓鱼。
以下是美国计算机应急准备小组(US-CERT)的扩展网络钓鱼定义示例:
[网络钓鱼]是一种社交工程形式,它使用电子邮件或恶意网站(以及其他渠道)通过伪装成值得信赖的组织或实体来从个人或公司索取个人信息。网络钓鱼攻击通常使用电子邮件作为媒介,向似乎来自与个人进行业务的机构或公司的用户发送电子邮件消息,例如银行或金融机构,或个人拥有帐户的网络服务。
虽然此定义还包含一些网络钓鱼的基本属性,但它更关注的是覆盖犯罪可以执行的各种方式,而不是仅仅通过名称命名各种类型的网络钓鱼,可能是为了长度目的。
这确实是定义网络钓鱼的问题,关注犯罪的基本属性它的quiddity,或者中世纪逻辑学家称之为网络钓鱼的“什么”,或者应该把重点更广泛地包含在所有的网络钓鱼中构成总称,网络钓鱼的不同方法。
网络钓鱼定义
以下是网络安全社区中的一些其他组织和专家如何定义网络钓鱼。值得注意的是,许多这些定义已被截断。我们收到了很多优秀的回复,其中一些我们将来会引用它们。但是现在我们已经尝试将每个网络钓鱼定义提炼到它的……本质上?
无论如何,首先是…… Justin Lavelle,BeenVerified的CCO ,一个领先的在线背景检查平台:
“网络钓鱼”这个术语是一个广义的术语,它描述了诈骗者为了操纵一群人分享他们的个人信息而做出的任何努力,例如他们的密码,用户名或信用卡信息是出于恶作剧的原因。受害者可以是任何人,因为最初的联系会立即发送给大群人。诈骗者可能将自己呈现为受害者可以信任的人。他们将通过电子邮件,社交媒体或电话联系受害者。这些攻击的目的是发送虚假信件,好像它是从一个真实的组织产生的,发送给一个大型团体,希望这些联系人中的一个将遵循为他们提供的链接并向诈骗者透露他们的个人信息。
此网络钓鱼定义设法检查两个框。它覆盖了多少领土,实际上令人印象深刻。我们要问的唯一问题是BeenVerified如何定义基于电子邮件的攻击,其意图是分发恶意负载?这是否构成网络钓鱼,还是我们应该将其定义为其他内容?
史密斯调查局和史密斯培训中心运营副总裁Patricia Vercillo 网络欺诈。骗子冒充商业,金融机构或信用卡公司的骗子。目标是诱骗人们放弃他们的私人信息,如出生日期,帐号等。
这种网络钓鱼定义简洁,有点狭隘,侧重于更经典的网络钓鱼方法。同样,没有提到其他类型的基于电子邮件的攻击。但是,这实际上可能是一种力量。如果在“网络钓鱼定义太广泛”的阵营中,这是完美的。 Ray Walsh,ProPrivacy,Privacy Advocacy Group 网络钓鱼是通过欺骗来从互联网用户提取敏感信息的行为。这通常是通过欺骗用户将他们的个人详细信息输入虚假的在线表格和网站来实现的。网络钓鱼有时可能涉及故意对受害者进行个人操纵。这种攻击使用社会工程,技术上称为鱼叉式网络钓鱼。
这是另一种具有相当狭窄范围的网络钓鱼定义,仅限于收集信息。同样,这更接近经典定义,但没有解决其他迭代问题。正如我们在一分钟前所说,也许这种特异性水平实际上是正确的方法。但它确实需要一些其他定义来涵盖其他类型的电子邮件攻击。
来自safeatlast.co的 Ana Bera ,一个专门从事网络安全的网站…我们将网络钓鱼定义为获取私人和敏感信息,而无需了解该信息的使用方式。那些获取信息的人是否公开说谎他们为什么需要这些信息,或者他们的目的只是含糊不清,我们称之为网络钓鱼。
此网络钓鱼定义的方向不同,因为它还涵盖了欺骗性的电子邮件,如果不一定是恶意的。这肯定会违反GDPR。但有趣的是,它被定义为网络钓鱼。 Ijura创始人兼首席执行官Eric Williams 网络钓鱼是通过电子邮件/文本/短信模仿受信任或合法来源以欺骗目标以泄露特权信息以用于恶意目的,或在受害者的计算机上安装恶意软件的做法。
这是我们获得的更为全面的网络钓鱼定义之一,而且它的简洁性更加引人注目。与大多数其他网络钓鱼定义不同,此定义包括恶意有效负载。
社会鲶鱼,在线身份验证服务
我们组织对网络钓鱼的工作定义是,当有人向您发送恶意电子邮件时,意图窃取收件人的私人信息或敏感信息。这些诈骗者通常假装来自合法公司,以利用这些组织的信任。电子邮件本身会根据其意图而有所不同; 是否可以获得预期收件人的信用卡信息,他们对特定网站的登录凭证,或者对骗子有价值的其他类型的数据。
这些坚持信息的渗透。它很好地涵盖了它,但它忽略了其他类型的电子邮件攻击。同样,这很可能是设计上的。社交鲶鱼可以不同地识别其他类型的电子邮件攻击。这再一次强调了我们的全部观点,即对于网络钓鱼的定义确实没有达成共识,尽管拥有一个网络钓鱼非常有用。
G2,数字业务解决方案提供商 在G2,我们将网络钓鱼定义为通过直接针对人们的欺诈性通信获取用户信息的方法。这通常是通过伪装成来自合法来源的电子邮件来完成的,但会将目标的信息传递回黑客的实际来源。基本上,黑客的目标是通常通过电子邮件欺骗您,向他们提供他们想要的信息。很容易成为受害者并采取诱饵,特别是如果你移动太快,看不到电子邮件地址只是一个字符,或者电子邮件中提供的URL只是略有拼写错误。
这是为什么网络钓鱼有效的唯一网络钓鱼定义。许多人探索为什么这样做。这一点指出了它成功的原因。因为这个定义会吸引普通企业主和IT管理员,而不是一些更多的手术定义。
Atif Mushtaq,SlashNext的首席执行官兼创始人 “基本的网络钓鱼试图让某人做某事 – 从下载附件,点击进入网站,到填写表格。人性是一个关键漏洞,攻击者知道如何利用它。鱼叉式网络钓鱼的不同之处在于,它通常针对组织中较小的群组或特定部门,并且更难以检测,因为它似乎来自与收件人紧密对齐的发件人。捕鲸攻击是鱼叉式网络钓鱼威胁,专门针对备受瞩目的个人。这可能是一个组织内的C级高管,或者有很多损失的名人和政治家,即声誉或金钱。“ 此网络钓鱼定义最接近完全包含可能构成网络钓鱼的所有潜在电子邮件攻击。它绝对是提交的最具扩展性的定义。不过,我认为最大的优势是第一句话: … 网络钓鱼试图让某人做某事 ……。因为简单地说在2019年,它完全准确。网络钓鱼不仅仅是关于泄露信息。对于其他更危险的攻击,它也是最常被攻击的攻击媒介。
记住这一点,因为我们(愚蠢地)试图拼凑出我们自己最好的定义…… 定义网络钓鱼的最佳方法是什么?
正如我们刚才所述,网络钓鱼的定义因组织和行业而异。它因人而异。关于如何定义网络钓鱼,除了它是关于欺骗的事实,并且历史上涉及盗窃数据之外,没有达成共识。
但是,只要你使用“历史性”这个词来指代网络犯罪,你就已经远远落后于曲线。自从它的发明以来,网络钓鱼已经发生了很大的变化,当电子邮件仍然是新奇的时候,儿童仍然可以在不使用表情符号的情况下有效地进行通信。
如今,网络钓鱼通常涉及恶意有效载荷。恶意软件冒充简历或发票。网络钓鱼通常是勒索软件的载体。公平地说,它变得不再是一种利用本身,而是更多地成为更大威胁的渠道。
这就是为什么我们赞赏Atif开始他的定义的方式,我们将用它来开始我们自己的定义: 网络钓鱼是企图让目标采取预期的行动…… 在SSL商店,我们更广泛地了解网络钓鱼,这不仅仅是窃取个人信息或登录凭据。我们查看由双向通信触发的任何攻击,并且欺骗其预期目标将预期的操作视为网络钓鱼。 我们试着让它更简洁一些。这是我们的网络钓鱼定义: 网络钓鱼是企图通过欺骗性通信获取目标以采取
预期操作,其中攻击者冒充受信任的实体。 我认为亚里士多德会对这个定义感到满意,因为它只关注网络钓鱼的基本属性:
· 这是欺骗
· 它利用了社会信任动态
· 它旨在说服目标采取预定的行动
除此之外,还有哪些其他常见线程可以处理所有其他网络钓鱼分享?它可以在不同的媒介上播放。它可以针对不同的个人,部门或公司。它可以模仿任何人。最终目标各不相同。
每个人都以不同方式定义网络钓鱼。我们的定义可能不满足其他组织。就像他们可能不满足我们一样。
如何预防钓鱼?
使用密码管理器 – 受信任的密码管理器使您的员工可以为每个帐户拥有并使用复杂安全的密码,而无需记住所有帐户的麻烦。
启用双因素身份验证(2FA) – 此保护措施需要多条信息才能让某人能够登录。它需要以下两项: 你知道的东西(密码,密码等); 你拥有的东西(移动应用程序,智能卡,个人令牌等); 和/或 你是什么(生物识别,如视网膜扫描,指纹等)。
使用发件人策略框架(SPF) – 这是一种电子邮件验证系统,允许域管理员授权特定主机使用域。
通过官方渠道验证可疑通信 – 如果您收到声称是您银行的人的电话,请挂断电话并使用卡背面的电话号码直接致电您的银行。如果您收到自称是首席执行官的人发来的电子邮件,要求您转账,发送敏感数据或其他任何远程可疑的信息,请在官方公司电话线上给他们或他们的助理打电话。不要依赖可疑通信中提供的联系信息。
使用安全和加密的网站,确保您的网站,以及您访问的网站是安全和加密的。这意味着访问使用安全协议(HTTPS)而不是不安全协议(HTTP)的网站。您可以使用SSL / TLS证书保护您的网站,该证书可保护您的站点与最终用户的Web浏览器之间传输的数据。
