钓鱼Phishing攻击已经有了十余年的历史,典型的手段是假冒的钓鱼邮件和钓鱼网站。尽管近年来全球各国在打击垃圾邮件和钓鱼网站方面取得了举世瞩目的骄傲成绩,然而,昆明亭长朗然科技有限公司的一项安全调查表明:不少信息安全管理负责人仍然担心公司会成为网络钓鱼分子的攻击目标。
显然,现在的网络钓鱼攻击仍然有一部分是批量化的随机诈骗,而且在防垃圾邮件系统和网站信誉系统越来越多被部署和实施的年代,钓鱼邮件对垃圾虫们的“业绩”贡献越来越小。我们可以看到的趋势是网络犯罪分子在不断变换各类诈骗手法,比如近年来,钓鱼邮件生意清淡而社交网络火热时,网络钓鱼分子便将主要精力转向社交网站渗透。使用短链接服务的社交网站深受其苦,则开始绑定网站信誉评价和网站安全扫描,并且查封不法分子使用的社交诈骗帐户。而网络犯罪分子开始抢时间,不断变换诈骗网站的域名、申请新的社交网络帐户并且争取在最短的时间内发送海量钓鱼消息。社交网络的应对之策是设定消息发送阀值,并增设验证码……
可以说,这种安全博弈战会一直进行下去,人们也不会忽略的是另一部分非批量化的随机诈骗,这些网络犯罪分子往往都是坚定的攻击者,他们会选择特定的目标,拿出所有的可能手段。特别是当他们受到反动势力或黑恶组织的资助时,力量便会倍增。安全界给这类攻击取名为APT,高级可持续性威胁,如果成为APT的目标,几无生还的可能,让伊朗核电站受到重挫的Stuxnet则是典型的APT攻击案例。
尽管提到APT,安全专家们都会面如灰土,但是并非所有公司都能成为APT攻击的目标,实际上,只是幸运儿才会被大型组织所资助的网络犯罪团伙看中。但是,正义的人们也不能心存侥幸,即使不会成为APT攻击的目标,也得防范小规模的坚定攻击分子、其它较弱的安全威胁以及它们可能使用的下三滥安全渗透攻击手段——其中包括网络钓鱼。
即使是判断率最为精确的防垃圾邮件系统也无法有效识别那些有专门针对性的精心策划和构建的钓鱼邮件,而只面向受害群体而不针对大众使用的钓鱼网站更是难以受到网站信誉系统的光临。如何有效防范这些攻击呢?唯有从它们的攻击目标入手,即强化对公司员工进行安全防范意识教育,让员工们有能力识别钓鱼邮件,有动力报告钓鱼邮件,同时可以互相分享和吸取网络钓鱼攻击防范经验和技巧。