每年,数百万人都会成为网络钓鱼骗局的受害者,并丢失了宝贵的数据,或者在最坏的情况下,他们来之不易的钱。即使您认为自己精通技术并且不太可能陷入这种陷阱,威胁演员也不是愚蠢的。这些人定期制定新计划;有时,几乎不可能判断电子邮件或消息是合法的还是骗局的一部分。在本文中,我们将仔细研究攻击者使用的最新战术,以及如何保持安全。
了解网络钓鱼和社会工程
对于初学者来说,网络钓鱼与骗子的欺骗性相当,旨在敦促您揭示个人信息。过去,这些攻击很简单,主要通过包含伪造网站的恶意链接的电子邮件分发。
但是,随着像Google这样的巨人采取更好的安全措施和公众意识的增强,威胁行为者制定了一种新的策略:社会工程学。该技术利用了人类心理学,骗子经常作为亲人,IT专业人士或可信赖的联系人提取敏感信息或金钱。
新的网络钓鱼和社会工程策略
如前所述,黑客经常利用新的策略将无辜者捕食,并且由于AI工具变得容易获得,因此捕捉到这些骗局越来越困难。然而,意识到自己的战术可能会有很大帮助。其中包括:
1。情绪吸引力骗局
在此类攻击中,黑客可能会从用户的社交媒体帐户(例如Instagram和X)中收集个人信息,以创建有针对性的网络钓鱼电子邮件,这些电子邮件似乎是合法的。这些消息通常会引起紧迫感或情感触发因素(例如来自朋友的伪造紧急请求或有关折衷帐户的警告),以操纵用户单击恶意链接并泄露敏感信息。
2。温钓
由于AI驱动的语音产生模型,近年来,捕钓的攻击激增。网络犯罪分子使用这些工具令人信服地模仿亲人的声音,工作场所领导和其他紧密的联系来打电话给受害者并制造紧急情况,例如陷入法律麻烦或需要紧急资金。
在大多数情况下,诈骗者向受害者施加压力,以迅速汇款,利用情境情绪。检测这些骗局可能很困难,因为AI生成的声音听起来很现实,因此在采取行动之前通过其他手段验证意外请求至关重要。
3。社交媒体剥削
威胁参与者在电报或X上创建假的社交媒体帐户,以与潜在的受害者建立信任,通常针对脆弱或孤立的人。例如,一些浪漫史上的骗局看到不好的演员在引入欺诈性投资机会或资金请求之前投资数周以建立与受害者建立关系,经常涉及加密货币
通过展示捏造的成功案例并以迅速回报的承诺吸引了受害者,他们说服了他们投资,只是让资金消失。认识并避免主意的财务建议或投资计划是防止此类骗局的关键。
4。克隆网络钓鱼
威胁参与者没有创建全新的骗局电子邮件,而是复制受信任组织的合法消息,而是复制格式,徽标和内容,以使其与原件几乎没有区别。然后,他们将这些欺诈性电子邮件发送给经常修改的受害者,例如用恶意链接代替合法链接。攻击者还可以使用与原始发件人域紧密相似的电子邮件地址来欺骗收件人,以为电子邮件是真实的。
5。取消(QR码网络钓鱼)
随着越来越多的用户对在电子邮件中单击可疑链接的警惕,攻击者已转向QR码来绕过传统的网络钓鱼防御。这些骗局被称为“ Quangish”,将用户欺骗了扫描QR码,这些索引将其引导到旨在窃取登录凭据或安装恶意软件的恶意网站。
加剧风险,大多数电子邮件安全过滤器不会自动扫描QR代码是否有恶意链接,从而使此攻击向量更难检测到。为了保持安全,用户应避免从不受信任的来源扫描QR码,并在参与之前验证任何基于QR的请求的合法性。
如何保持安全?
考虑到威胁参与者试图获得未经授权访问用户帐户的数百种方法,保持安全似乎很困难,而且确实如此。现在,网络钓鱼电子邮件可能会在您的收件箱中,等待罢工。虽然我们无法解释每种情况,但您应该记住一些事情。
首先,切勿打开未知电子邮件的链接,并始终检查发件人的电子邮件地址是否有可能差异。通过浏览器,密码管理器或独立身份验证应用程序启用两因素/多因素身份验证(2FA/MFA)。即使威胁行为者设法访问您的凭据,这是维护您的帐户的最简单方法。例如,在Google中设置MFA,例如:
- 在Google中前往您的帐户设置。
- 搜索 2步验证。
- 按照屏幕上的说明启用它。
密码管理器是加强安全姿势的另一种好方法。我们大多数人在多个站点上使用类似的密码,以免我们忘记。但是,如果密码重复使用可以使威胁参与者仅访问您的凭据之一,则可以使威胁参与者进入其他帐户。
像Bitwarden这样的密码管理器可帮助您安全地存储和管理所有密码。它还可以产生强大的独特密码,而黑客几乎不可能破解。
使用Passkeys
在安全密码管理器中存储密码是一个重要的一步,但我们需要朝着无密码的未来迈进,以减少网络钓鱼攻击。这是Passkeys发挥作用的地方。
Passkey是用于在线验证的加密密钥。它消除了用户通过使用生物识别验证(例如指纹或面部识别)或基于设备的验证来确认其身份的需求。当您为网站创建PassKey时,会生成两个不对称键 – 一个牢固存储在您的设备上,另一个存储在网站的服务器上。
由于Passkey仅在特定域上工作,并且您需要两个密钥才能登录,因此它们具有抗网络钓鱼。尽管有明显的优势,但由于缺乏用户的熟悉程度以及Microsoft等巨人的实施缓慢,它们的采用率仍然很慢,Microsoft最近推出了Passkey支持。
此外,设备链接的Passkey不在设备之间同步,这意味着用户每次切换设备时都必须重新注册。但是,同步的PassKeys存储在安全密码管理器中,例如Apple KeyChain,Google密码管理器或Bitwarden等开源替代方案,使用户能够在不同设备上访问其凭据。
结论
网络钓鱼和社会工程不会走到任何地方,您可能会在未来几年收到此类骗局电子邮件。但是,有了正确的意识和预防措施(例如启用MFA,使用密码管理器并采用Passkeys),您可以加强安全性并防止这些威胁参与者访问您的私人信息。
