Erfahren Sie, 什么是鱼叉式网络钓鱼, auf wen sie abzielen und wie sie sich von anderen Phishing-Angriffen unterscheiden.
2023 Mid-Year Threat ReportInhaltsübersicht
Spear Phishing ist eine 常见的网络攻击类型, bei der die Angreifer einen bestimmten Empfänger oder eine bestimmte Gruppe gezielt mit detaillierten E-Mail-Nachrichten angreifen. Dies erfordert, 攻击者正在调查他的攻击目标, 寻找重要的细节, die seinen Nachrichten einen Hauch von Plausibilität verleihen können - alles in der Hoffnung, 欺骗和引诱一个有价值的目标, auf eine schädliche Payload zu klicken oder sie herunterzuladen oder eine unerwünschte Aktion wie eine Geldüberweisung zu veranlassen.
Spear Phishing-Angriffe können jeweils nur auf eine Organisation oder sogar auf bestimmte Teams innerhalb einer Organisation abzielen. 当矛式网络钓鱼攻击变得更加精确, 他们的目标往往是最高的, z. B. auf Führungskräfte der C-Ebene oder leitende Angestellte; diese Art von hyper-spezifischen Phishing-Angriffen wird umgangssprachlich als Whaling Phishing-Angriff bezeichnet.
Standard Phishing-Angriffe hingegen zielen darauf ab, 实现尽可能多的目标, 在此基础上, dass einige Benutzer wahrscheinlich auf den Trick hereinfallen werden. 这些类型的攻击更加普遍。, 因为潜在的攻击者需要更少的努力, 妥协目标, als wenn er versucht, eine hochrangige Führungskraft oder bestimmte Organisationen zu phishen.
当罪犯发送网络钓鱼邮件时, 撒下一张尽可能宽的网, in der Hoffnung, einen Fang zu machen. 为此,他们发送垃圾邮件并尝试, 欺骗毫无防备的用户, 点击恶意链接或附件, wobei sie oft vorgeben, 来自合法来源, in der Hoffnung, vertrauliche Informationen oder wichtige Anmeldedaten zu erhalten.
网络钓鱼攻击由来已久, weil sie einerseits billig in der Anwendung und andererseits wirksam genug sind, um lukrativ zu sein. 但随着电子邮件安全变得越来越复杂, 常见的网络钓鱼策略越来越容易被发现, 甚至是钓鱼邮件, 实现他们的目标, 不再足够有效, 欺骗警惕的用户.
Infolgedessen wenden Angreifer neue Taktiken an, um ihre Phishing-E-Mails glaubwürdiger zu gestalten. 原始的网络钓鱼方法, 撒网, weichen immer mehr Methoden, 专注于它, ihre potenziellen Opfer mit tatsächlichen Details von ihrer Legitimität zu überzeugen. “鱼叉式网络钓鱼”只是这种攻击的一个术语。.
企业尤其容易受到鱼叉式网络钓鱼攻击, da so viele Unternehmensdaten in der Regel frei im Internet verfügbar sind, 这样攻击者就可以窥探他们, 没有任何怀疑. Offizielle Websites von Unternehmen können eine Goldgrube für organisationsspezifische technische Details und Fachausdrücke, wichtige Mitarbeiter, Kunden, Veranstaltungen oder sogar die Namen interner Software-Tools sein. Facebook等社交网络, Twitter und LinkedIn bieten oft nicht nur die persönlichen Details darüber, 某人在哪里工作或过去曾在哪里工作, sondern mit einer oberflächlichen Suche können Angreifer leicht die Unternehmenshierarchie aufdecken.
在一个长矛钓鱼电子邮件可以这些小细节, 可以在网上免费获得, 帮助攻击者, seine E-Mail mit Namen, 提供地点或术语, 有足够的信息, um einen ansonsten versierten E-Mail-Empfänger zum Klicken auf einen schädlichen Link zu bewegen. 这个链接可以把你重定向到一个网站。, die vertrauliche, nur intern verwendete Anmeldeinformationen abfängt und es dem Angreifer so ermöglicht, sich frei im Unternehmensnetzwerk zu bewegen und geistiges Eigentum oder Kundendaten zu stehlen.
例如,如果攻击者知道, wie die internen E-Mail-Adressen eines Unternehmens aufgebaut sind, die Namen der Kundenbetreuer (die sich über LinkedIn leicht selbst identifizieren lassen), den Namen eines wichtigen Kunden (im Unternehmensblog) und den Namen des Vertriebsleiters (auf der Unternehmenswebsite) kennt, könnte er eine überzeugende E-Mail an das gesamte Kundenbetreuerteam verfassen, die angeblich vom Vertriebsleiter stammt und ein dringendes Problem mit einem der größten Kunden betrifft.
In der E-Mail könnte stehen, dass die Empfänger das Memo im Intranet ihres Unternehmens unter einem bestimmten Link überprüfen sollen – ein Link, 它看起来很像内部网门户, 但实际上,这是一个有害的虚假版本, die eingerichtet wurde, 监视用户名和密码. Finanzabteilungen werden während der Steuererklärungszeit oft mit Spear-Phishing-Attacken angegriffen, die vorgeben, 来自首席执行官或首席财务官, 迫切需要检查税务文件.
Alle gängigen Weisheiten zur Bekämpfung von Phishing gelten auch für Spear Phishing und sind eine gute Grundlage für die Verteidigung gegen diese Art von Angriffen. 永远不要点击电子邮件中的链接, ist eine eiserne Regel, 以避免大部分的损害, 可以进行网络钓鱼攻击. Da Spear Phishing jedoch eine ausgefeiltere Version eines einfachen Phishing-Angriffs ist, 企业必须确保, dass ihre Richtlinien auf diese fortschrittlicheren Methoden Bezug nehmen und umfassendere Lösungen implementieren, 培训员工, um sich zu schützen.
Weitere Tipps, wie Unternehmen Spear Phishing-Angriffe verhindern können, sind:
Ein 健全的网络钓鱼意识教育计划 超越课堂训练. Die besten Schulungsprogramme setzen auch wiederkehrende simulierte Phishing-„Tests“ ein, bei denen überzeugende (aber harmlose) Spear Phishing-E-Mails an die Mitarbeiter Ihres Unternehmens geschickt werden. 一名员工被网络钓鱼攻击, lernt er aus erster Hand, wie effektiv diese Kampagnen sein können und worauf er in Zukunft achten sollte – und das alles, während die Unternehmensdaten in einer kontrollierten Umgebung sicher sind.
Im Kampf gegen Spear-Phishing stehen die Mitarbeiter an vorderster Front. Deshalb kann jedes Unternehmen von Phishing-Awareness-Schulungen profitieren, 专注于以下几点 让员工保持最新的网络钓鱼保护 zu halten und vor diesem sich ständig weiterentwickelnden Angriff zu schützen.