“網絡釣魚”是指通過欺騙手段,使用電子郵件和/或網站不正當地獲取用戶名、密碼和財務信息的一係列行為。網絡釣魚攻擊利用社會工程和技術手段竊取敏感信息,包括消費者的個人身份數據和金融賬戶憑證,以獲得未經授權的資金訪問權限。社交工程計劃利用偽造的電子郵件將消費者引導到假冒網站,這些網站旨在誘騙收件人泄露信用卡號、賬戶用戶名、密碼和社會安全號碼等財務數據。
網絡釣魚攻擊大致可分為以下幾類:
- 魚叉式網絡釣魚-本質上是針對特定個人的電子通訊騙局。在這種形式的網絡釣魚中,騙子對目標進行完整的個人資料研究,設計通信方式,使目標相信通信來自一個受信任的發送者,並提示受害者向騙子透露機密信息
- 捕鯨-這是一種網絡釣魚活動,針對的是更特定的一類個人,他們通常在組織中擁有高級管理職位。這些目標被認為是有價值的,因為他們擁有授權大型交易的權力,同時還可以獲得敏感信息。
- 搜索引擎網絡釣魚-這是針對用戶在搜索引擎上搜索的特定關鍵詞而創建的虛假網站。當用戶訪問這些虛假網站時,他們可能會被提示輸入敏感的財務信息或點擊惡意鏈接,導致其證書受損。
- 短信詐騙-是一種網絡釣魚,通過短信提醒將用戶重定向到一個旨在收集有價值信息的虛假鏈接。
商務郵件妥協(BEC)
直到幾年前,電子郵件詐騙還相對容易被發現,大多數目標可以很容易地發現電子郵件的真正目的,即網絡釣魚。例如,a發送的郵件“尼日利亞王子”,“雜項彩票”以及其他到達個人和商業電子郵件收件箱的欺詐企圖,它們相當明顯,因此被忽略了。然而,今天的騙子通過使用複雜的網絡釣魚方法,將他們的技術改進了幾個等級,這樣即使是一個警惕的旁觀者也會很容易被欺騙。
以下是執行BEC的一些方法:
- 假發票方案:有外國供應商的公司經常成為這種策略的目標,在這種策略下,騙子聯係作為其國際供應商的國內公司,從而操縱發送給該公司的發票/付款細節,以方便將資金轉移到騙子的帳戶。此外,騙子使用針對目標公司的特定語言,生成與外國供應商開具的原始發票虛假相似或精確相似的發票。正是通過這些發票,騙子插入他們的支付憑證,並接受付款代替真實或虛假的發票。
- 首席執行官欺詐:攻擊者偽裝成該公司的高級管理人員,與該組織的雇員進行電子通信,這些雇員通常受雇於財務部門。通過這個已建立的溝通渠道,騙子說服雇員將一大筆資金轉移到他們的帳戶。
- 帳戶妥協:類似虛假發票方案(上麵的解釋),參與BEC的人就會侵入或創建一個與高管或員工的電子郵件賬戶類似的ID,並要求向他們電子郵件聯係人中列出的供應商支付發票。然後,這些支付被重定向到欺詐者的賬戶。
- 人力資源盜竊:人力資源部門的員工經常是騙子的目標,因為他們存儲/或可以訪問組織其他員工和高管的個人或其他敏感信息,這些信息通常保存在他們的數據庫中。所有這些數據對騙子來說都很重要,有助於他們的運作。
總之,BEC本質上是一種攻擊商業電子郵件賬戶的策略,通常是為了方便未經授權的資金轉移。這是一種攻擊者冒充企業電子郵件帳戶的所有者,欺騙公司、員工、客戶、供應商或合作夥伴的漏洞。通常,攻擊者會創建一個電子郵件地址與目標組織使用的幾乎相同的帳戶,依賴於受害者和相應的電子郵件帳戶之間已經存在的關係。
BEC成功的一個主要原因是,騙子不是隨機地針對毫無戒心的個人,而是通過對個人及其行為模式進行詳盡的研究來針對特定的個人。因此,避免自己成為BEC攻擊的受害者的唯一方法就是保持警惕。
關於作者
Prashant Kataria是Algo Legal律師事務所的合夥人,Algo Legal律師事務所總部位於班加羅爾,在孟買和德裏設有辦事處。Algo Legal是一家新時代技術支持的律師事務所,專注於風險投資公司和風投資助的初創企業,擅長為並購、私募股權交易、合資企業等提供谘詢。普拉桑特畢業於著名的班加羅爾印度大學國立法學院。
他在兩個司法管轄區(印度和新加坡)有超過16年的法律交易經驗,涉及風險投資、私募股權、並購和基礎設施私有化項目。在他的職業生涯中,他曾為多家公司提供多種公司商業事務的建議,包括就業/勞動法、知識產權、房地產事務等。