📜  如何停止网络钓鱼

📅  最后修改于: 2022-05-13 01:57:02.615000             🧑  作者: Mango

如何停止网络钓鱼

概述 :
网络钓鱼是大多数网络攻击的起点。在发送恶意消息或创建克隆站点时,攻击者会使用心理技术和社会工程工具,因此防范此类活动对于信息安全专业人员来说并非易事。为了防止网络钓鱼攻击,您可以使用浏览器和邮件服务器中内置的不同工具,以及来自第三方供应商的“覆盖”工具。让我们看看这些解决方案与用户培训相比有多有效,以及您是否需要购买额外的解决方案来打击网络钓鱼。

网络钓鱼:
让我们定义基本概念——所谓的网络钓鱼以及这种类型的攻击与其他网络威胁有何不同。

  • 最初,网络钓鱼的概念采用非常狭义的解释,指的是引诱受害者访问虚假网站的信件。然而,后来,这个词的含义被大大扩展了。现在,任何恶意电子邮件都称为网络钓鱼电子邮件。
  • 现代保护手段不允许攻击者轻松连接到公司网络中的任何有价值的资源,因此网络钓鱼者试图引发某些用户操作,这些操作将成为网络攻击的起点。
  • 任何涉及攻击者与组织员工或家庭用户之间直接通信的欺诈方案都可以称为网络钓鱼。为此,既可以使用现代电子通信方式——电子邮件、即时通讯工具,也可以使用旧的通信方式,例如电话。
  • 我们不应该忘记使用物理媒体的网络钓鱼。此类攻击的一个例子是 2010 年用于阻止伊朗核计划的闪存驱动器。
  • 网络钓鱼比受害者直接遇到它要早得多。因此,根据预算和人力资源,公司可以使用一项服务来监控可能的攻击指标,也可以独立分析外部环境以寻找潜在威胁。

预防措施:
针对网络钓鱼的预防性保护包括如下。

  • 检测可用于攻击特定组织的恶意站点。
  • 监控社交网络,以识别包含员工信息和其他措施的出版物。

网络钓鱼威胁主动:
如今,大多数公司很少主动搜索网络钓鱼威胁,因为这是一个需要大量资源的复杂过程。事实证明,公司自行从事此类活动是无效的。有专门的解决方案可以快速且便宜地完成。

钓鱼渠道:
网络钓鱼攻击是如何开始的,以及网络犯罪分子最常使用什么通信方式来传递恶意链接。

  • 据统计,超过 96% 的网络钓鱼攻击都是从电子邮件开始的。同时,这个频道是最容易识别的。其他攻击媒介更难追踪。
  • 大部分网络钓鱼攻击都是通过电子邮件进行的,因为所有组织都使用电子邮件。企业电子邮件并不总是受到保护,攻击者无休止地尝试寻找必要的电子邮件地址并绕过反垃圾邮件保护。
  • 在大规模攻击的情况下,电子邮件确实是恶意内容的主要传递渠道。但是,如果发生有针对性的攻击,通常会使用其他与公司员工互动的方法,例如电话、社交媒体和信使。同时,由于准备工作的复杂性,有针对性的网络钓鱼攻击并不常见。
  • 批量网络钓鱼活动还使用某种定位,例如在开始攻击之前检查设备所属的区域。通常,大规模和有针对性的网络钓鱼攻击的方法是相同的。同样,即使是针对大量较小受害者的攻击,也会使用某种分析来提高转化率。
  • 至于网络钓鱼攻击可能造成的损失,从个人的数千美元到攻击者针对组织的数百万美元不等。
  • 尽管电子邮件作为主要网络钓鱼渠道盛行,但专家们看到使用即时通讯工具、博客、官方和虚假社交媒体帐户以及与目标用户交互的其他选项的攻击有所增加。

网络钓鱼防护方法:
邮件服务器和邮件客户端以及浏览器具有内置的网络钓鱼防护。这些工具是否足以防御攻击?第三方解决方案真的有必要吗?

  • 电子邮件服务和浏览器的内置安全工具提供了攻击者可以绕过的基本保护级别,因为他们有能力在攻击之前测试适当的机制。那些使用这些基本安全工具的人在他们的日常生活中看到了这一点。
  • 专门的解决方案实现了更复杂的算法,但它们也可以被网络犯罪分子研究。但是,这将显着增加攻击的成本。攻击者必须购买适当的解决方案,并花费大量时间测试和研究每个解决方案的功能。并非所有攻击者都会采取这样的步骤。这创建了一个额外的防火墙,资金可以转化为有效的安全投资。

电子邮件安全解决方案:
现代电子邮件安全解决方案应具有以下属性,如下所示。

  • 定期更新。
  • 使用机器学习技术来识别不同类型的攻击。
  • 能够很好地理解消息的结构和文字,识别图片中的文字,识别其他可疑信号和钓鱼指标。
  • 有一种机制来评估发件人的信誉数据和信中指定的域。

机器学习解决方案:
机器学习用于反网络钓鱼系统来比较网站页面并识别可疑域名。使用签名或统计方法无法有效地自动化这些操作。但是,ML 和 AI 在这方面做得很好。此外,使用机器学习,可以分析用户在收到消息后尝试执行的操作,从而防止恶意软件的传播和攻击的发展。使用供应商提供的数据库作为机器学习的基础是明智的,因为组织自己的数据可能还不够,因为它很快就会过时。同时,信息安全专家可以对其进行补充,以及手动调整人工智能解决方案以微调规则。

防范网络钓鱼:
在跟踪消息中的链接时应该使用什么策略?您应该默认阻止或限制对外部资源的所有传输,还是相反,允许它们?有哪些工具可用于识别钓鱼网站?如何处理夜间飞行网站?

  • 全面禁止的策略可能非常有效,但它对公司的业务流程产生不利影响。在现实生活中很难充分利用它。一种权衡是允许用户访问特定类别的站点。
  • 许多公司都有根据受信任资源的有限列表授予员工访问权限的做法。然而,问题在于网络钓鱼攻击的主要目标——营销和销售人员、金融家、公司高管,通常拥有一些特权,需要使用更广泛的资源列表。

打击克隆网站:
要打击克隆网站,可以使用如下策略如下。

  • 使用品牌保护服务,检查所有新注册的域是否与特定组织的域相似,并自动检查此类站点的内容。
  • 当您在浏览器中打开站点时,使用工具分析站点执行的操作,以打击根据会话的某些参数向用户和搜索引擎机器人显示不同内容的资源。

打击网络钓鱼的外部数据源:
最后,让我们简单谈谈使用第三方数据流(Feed)丰富反钓鱼系统的实践。虽然来自聚合器的信息可能很有用,但这些信息对于网络钓鱼防护并不是很有效,因为它很快就会过时。还应该记住,添加大量攻击指标会导致误报数量增加。您可以使用它们,但您必须管理大量资源密集型的提要。

结论 :
网络钓鱼防护不应仅限于浏览器或电子邮件客户端中内置的工具。这些工具仅提供基本级别的保护,并且通常对有针对性的威胁无能为力。同时,第三方解决方案也不保证完全阻止所有恶意消息。企业用户应注意可以利用其品牌作为诱饵的外部资源,以及针对公司员工的虚假网站。无论如何,打击网络钓鱼需要一种综合方法,其中包括技术工具(内置和第三方)的组合,以及组织措施——员工培训、政策、保护互联网品牌的行动.