鲸鱼攻击（鲸鱼网络钓鱼）

网络钓鱼攻击（又称“捕鲸式钓鱼”或“捕鲸式钓鱼攻击”）是一种特殊的钓鱼企图，它以公司高层人员（如公司总裁或财务主管）为目标，以获取公司的关键信息。在大多数捕鲸式钓鱼诈骗中，攻击者的目的是诱骗被攻击者批准将巨额资金转移到黑客手中。

“捕鲸”一词源于攻击的规模，被捕获的“鲸”指的是其在公司内部具有影响力的人。

由于其高度的针对性，捕鲸式攻击通常比典型的钓鱼企图更难被发现和避免。在公司内部，安全经理可以通过鼓励公司管理层人员参加数据安全意识培训来帮助限制捕鲸式攻击的有效性。

捕鲸式攻击是如何运作的？

捕鲸式攻击的目的是通过社会工程学、伪造电子邮件地址和网站欺骗等手段，诱骗某人泄露个人或公司信息。例如，黑客可能会向被攻击者发送一封看起来来自某个权威机构的电子邮件；一些捕鲸式攻击涉及专门设计的恶意软件网站，该网站是为此次攻击特别构建的。

捕鲸式攻击的电子邮件和网站都是高度定制和个性化的，通常会包含收件人的姓名、职位或其他从多个来源获取的相关信息。这种定制化程度使得识别捕鲸式攻击变得更加困难。

捕鲸式攻击经常依赖于社会工程学策略，因为攻击者可能会发送包含URL或文件的电子邮件，以感染被攻击者，使其安装间谍软件，或骗取个人信息。通过针对极具价值的目标，尤其是公司总裁（CEO）和其他高管，黑客还可以利用商业邮件欺诈（BEC）策略，说服他们批准非法资金转账。在某些情况下，犯罪分子会假冒首席执行官或其他公司高管，诱导员工进行资金交易。

这些网络攻击可能会让用户感到困惑，因为黑客愿意花费更多时间来制作这些攻击，以期获得巨大的回报。攻击者通常会利用社交媒体网站（如Instagram、Twitter和LinkedIn）来获取有关其目标的个人信息，以使捕鲸式钓鱼企图更具说服力。

防范捕鲸式钓鱼的技巧

防范捕鲸式攻击需要结合人员的安全意识、信息监控策略和技术。以下是一些避免捕鲸式攻击的有效方法：

1. 员工警惕性： 避免任何形式的网络威胁都需要所有员工承担保护公司财产的责任。在捕鲸式钓鱼的背景下，所有员工——包括最高层的员工——都必须了解这些攻击以及如何识别它们。虽然最高层管理人员是目标，但低层员工可能会因为无意的安全失误而无意中将经理暴露在攻击之下。员工应该了解需要警惕哪些社会工程学策略，例如模仿受信任电子邮件地址的伪造电子邮件地址。例如，如果一名员工经常联系一个显示“xyz@gmail.com”的电子邮件地址，那么攻击者可能会发送一封来自“xyz@gmail.com”的未经请求的消息，冒充该受信任的联系人，以赢得受害者的信任。员工还应该注意通过电子邮件索要金钱的请求。
2. 多步验证： 任何要求转账以及访问个人或敏感信息的请求，在被批准之前都必须经过多个验证阶段。分析来自公司外部的每封电子邮件和附件，以检查间谍软件、病毒和其他潜在风险，从而检测可能具有危害性的通信。
3. 隐私政策： 制定信息安全程序，以确保对消息和文档进行跟踪，以发现疑似的网络入侵。这些规则应建立一个分层防御机制，以应对捕鲸式钓鱼和一般的钓鱼攻击，从而降低攻击在最后一道防线发生的可能性。一种可能的方法包括分析消息中是否存在钓鱼企图的迹象，并立即阻止这些类型的消息接触潜在的目标。
   可能恶意电子邮件的迹象包括以下几点：
   • URL或域名与授权域名略有不同。
   • 邮件正文中包含索要金钱或信息的请求。
   • 网站的存续时间与可信通信方的网站存续时间不同。
4. 利用社交媒体进行培训： 作为员工知识的一部分，让各级管理人员了解社交媒体在促成重大攻击中的潜在作用。社交媒体提供了大量信息，欺诈者可以利用这些信息来构建社会工程学策略，如捕鲸式黑客攻击。CEO可以通过在其社交媒体资料上设置隐私设置来控制对这些信息的访问。高管通常会在互联网上以某种方式公开信息，这些信息会透露一些欺诈者可能模仿和滥用的个人特征。
5. 钓鱼防范技术和举措： 许多制造商提供反钓鱼程序和托管安全服务，以帮助避免捕鲸式攻击和其他诈骗。黑客策略仍然普遍存在，因为它们依赖于利用人为错误，而人为错误无论是否有杀毒技术都会发生。

APWG是一个致力于网络安全和欺骗研究与预防的组织。它为受黑客攻击影响的组织提供工具，并进行研究以深入了解当前威胁。组织也可以向APWG提交潜在的威胁进行审查。

钓鱼、捕鲸式钓鱼和鱼叉式钓鱼的区别

钓鱼攻击、捕鲸式钓鱼攻击和鱼叉式钓鱼攻击常常被误解。它们都是网络攻击，旨在诱骗消费者收集其目标的个人信息，并使其采取一些破坏性行为。

捕鲸式攻击是一种特殊的鱼叉式钓鱼攻击，它攻击组织内某些有影响力的人物。鱼叉式钓鱼攻击可以针对任何个人。这两种攻击形式通常比传统的钓鱼攻击需要攻击者花费更多的时间和精力。

钓鱼是一个更广泛的术语，包括试图欺骗某人执行特定步骤的任何类型的攻击，包括出于欺诈目的分发个人信息（如登录凭据、密码和银行信息）；安装恶意软件；或完成非法财务补偿或转账。

虽然标准的钓鱼电子邮件攻击通常涉及向大量人员发送电子邮件，而不考虑有多少人会受到影响，但捕鲸式电子邮件攻击通常一次只针对一个人——通常是一个有影响力的人物——并提供高度定制的信息。

捕鲸式攻击的例子

2016年发生的一起著名的捕鲸式事件，当时Snapchat应用程序的一名高级员工收到一封来自犯罪分子的电子邮件，该犯罪分子自称是公司首席执行官。该员工被诱骗向攻击者提供了工资单信息；随后，FBI对此事进行了调查。

2016年又发生了一起捕鲸式攻击，一名Seagate员工意外地将许多当前和前任公司员工的所得税退税信息转发给了外部组织。在将该电子邮件欺诈报告给IRS和FBI后，发现该攻击导致许多个人的私人信息被泄露。

2018年，又发生了一起严重的捕鲸式事件，欧洲电影公司Pathé成为攻击目标，导致损失高达2150万美元。犯罪分子冒充公司高管，向总裁和首席财务官提出了一项具有高度机密性的金融交易的欺诈性提议。尽管存在危险信号，CEO和CFO还是向黑客转账了近80万美元，这仅仅是该公司金融损失的开始。

惠普公司预计2021年捕鲸式攻击和其他网络安全威胁将会增加，并指出向远程工作模式的持续转变是导致这一现象的一个因素。这种转变使组织面临新的风险，包括恶意软件、钓鱼电子邮件和线程劫持。虽然COVID-19大流行加速了远程工作实践的采用，但它也为网络罪犯利用远程工作环境中的漏洞提供了机会。因此，建议组织保持警惕，并实施强大的网络安全措施，以减轻与捕鲸式攻击和其他网络威胁相关的风险。