在互联网世界中,钓鱼攻击是一种常见的安全威胁,攻击者通过各种手段诱骗用户输入敏感信息,如账号和密码。以下是一些典型的钓鱼攻击场景和手法,以及用户容易受到攻击的弱点,帮助大家提高安全意识,避免成为钓鱼攻击的受害者。

典型场景1:冒充客户或合作方
攻击者冒充客户、合作方或渠道商,通过邮件、企业微信、客服入口等方式联系,以发送需求文档、合同、产品清单等名义,发送包含恶意宏或脚本的Office文档、PDF、压缩包等附件,或者引导用户点击恶意链接。常见手法包括发送看似正常的网盘链接或下载链接,以及频繁催促用户“先看一下”“尽快回复”,制造紧迫感。

容易被利用的弱点:

  • 销售/客服习惯“先打开看看”,缺少身份核验意识。
  • 使用个人邮箱、个人微信接收文件,绕过公司安全网关。
  • 在无防护或长时间未更新的电脑上打开未知附件。

典型场景2:冒充技术大佬或开源作者
攻击者冒充技术大佬、热心同事或开源作者,分享“有趣脚本”“效率工具”“一键排查脚本”等,让技术同学直接在VSCode、终端中运行。常见手法包括提供一段看起来“正常”的代码,代码内部会下载并执行恶意Node.js、Python、PowerShell等脚本,以及在仓库/压缩包中藏恶意逻辑,例如postinstallsetup.pynpm run脚本自动执行。

容易被利用的弱点:

  • 习惯“不看代码先跑一跑”,对脚本内容缺少基本审查。
  • 在工作电脑上执行来路不明的脚本,电脑中通常保存了代码、密钥、内部系统访问权限。
  • 终端和编辑器中缓存了Token、SSH Key、数据库连接信息,一旦被窃取,危害巨大。

典型场景3:利用本地软件的0day或漏洞
高级攻击者会利用本地软件的0day或漏洞来提高成功率。攻击者冒充应聘者给HR发带木马的简历,或者冒充HR给求职者发“Offer、测评链接、入职资料包”,实为钓鱼网站或恶意程序。常见手法包括发送带宏的Word简历、内嵌脚本的PDF或带可执行文件的压缩包,以及发送“非官方域名”的测评系统链接/入职资料下载地址。

容易被利用的弱点:

  • 员工对账号重要性认识不足,存在账号共享、密码复用等行为。
  • 离职员工账号未及时回收,权限长期闲置无人管。
  • 员工对“数据变现”的法律风险、公司处罚、个人后果缺乏清晰认知。

典型场景4:利用内部人员
攻击者直接用钱收买内部人员或在咸鱼等购买内部账号,绕过外部防护,直接以“合法员工身份”进入内部系统。常见手法包括在咸鱼、社交平台上发布“高价收购内部账号”等信息,通过熟人、QQ群、私聊打探“有没有愿意帮忙导点数据”的员工,以及购买已经泄露的公司账号和密码,尝试登录公司系统。

容易被利用的弱点:

  • 员工对账号重要性认识不足,存在账号共享、密码复用等行为。
  • 离职员工账号未及时回收,权限长期闲置无人管。
  • 员工对“数据变现”的法律风险、公司处罚、个人后果缺乏清晰认知。

典型场景5:利用高仿站钓鱼
现在高级攻击者利用高仿站钓鱼并不是为了获取一台电脑权限,而是为了获取一个内部账号,长期获取内部信息,方便进一步钓鱼或者在获取到关键信息时爆发。攻击者搭建一个几乎跟公司官网/登录页面一模一样的网站,通过相似域名、伪造证书、推广链接等方式,引导员工在假网站上输入账号密码。

常见手法包括注册相似域名,完全复制公司官网或登录页的UI,只修改后台表单提交地址,以及通过邮件、短信、二维码等形式群发“系统升级,请使用新入口登录”“工资条/奖金查询链接”“重要通知,请扫码登录查看”等。

容易被利用的弱点:

  • 大部分人只看页面长得像,不习惯仔细看域名。
  • 习惯直接点击邮件、聊天工具中的链接,而不是手动输入或使用书签。
  • 对HTTPS证书的理解停留在“有小锁就安全”的误区,忽略证书所属对象。

总之,钓鱼攻击的手法多种多样,但本质上都是为了获取权限和账号等敏感信息。大家平时输入账号、打开陌生文件时多个心眼子,仔细核验信息来源,提高安全意识,就能有效避免成为钓鱼攻击的受害者。

标签: none

评论已关闭