安全专家经常重复的这句口头禅代表了一个经验法则:绝大多数违规行为都是被盗密码的结果,而不是高科技黑客工具。
这些突破正在上升。 据美国联邦调查局(FBI)最近的一份报告称,钓鱼诈骗是去年最常见的互联网罪。 据报道,2019年,由于钓鱼,人们损失了5,780多万$,超过114,000名受害者被锁定在美国。
据微软安全研究团队的主要负责人坦迈·加纳查里亚(Tanmay Ganacharya)说,随着网络钓鱼变得更加有利可图,黑客们在窃取密码的方法上变得越来越老练。
“大多数攻击者现在都转向钓鱼,因为这很容易。 如果我能说服你给我你的证书,就这样了。 我再也不需要什么了,”Ganacharya告诉商业内幕。
Ganacharya监控钓鱼策略,以建立机器学习系统,为使用微软服务的人铲除骗局,包括Windows、Outlook和Azure,微软的云计算服务。 本周,微软宣布将开始为Linux、iOS和Android等平台销售威胁保护服务。
Ganacharya就他的团队观察到的网络钓鱼的趋势对商业内幕进行了采访。 许多策略都不是新的,但他说攻击者不断地寻找新的方法来解决防御问题,比如微软的威胁保护。 以下是他所描述的。
黑客将首先发送低级别的员工电子邮件,看起来值得信赖,但可能包括链接引导他们到一个骗局网站,要求他们输入他们的用户名和密码。 一旦他们可以访问该员工的帐户,他们可以使用它发送值得信赖的电子邮件给公司的其他人。
“你可能会通过某人进入一个网络,比如销售助理。 但通过这一点,你可以横向移动,通过发送钓鱼电子邮件,让我们说,管理员的候选人,“加纳查里亚说。 “然后,一旦你能够妥协管理,你实际上可以利用该公司的领域,并发送电子邮件到更大的货物。
“这封电子邮件不是来自“gmail.com的某个人”或一些随机地址,而是来自他们合作的企业。 在钓鱼中,这一切都是关于获得电子邮件的信任,读者,以便他们点击它。 如果这是一个凭证的出现,他们只是给出他们的凭证,“Ganacharya说。
加纳查里亚说:“打字抢注又大了。
在这个网络钓鱼计划中,也被称为URL劫持,攻击者购买的域名是一些流行网站的轻微拼写错误,如goggle.com或yuube.com。 这一策略是互联网早期的支柱,但最近又出现了复苏。
黑客有时会为他们用来攻击某人的角色创建假的社交媒体页面或个人博客,故意添加他们目标的朋友,以使他们看起来更可信。
黑客们会经常制作模仿可信服务登录屏幕的假网站,比如电子邮件帐户。 加纳查里亚的团队已经建立了机器学习系统,可以发现网站外观上的细微差异,并将其标记为欺诈,但他说黑客不断地在建立漏洞。
“如果攻击者创建了一个类似的外观页面(与合法的登录屏幕),但他们无法匹配这里和那里的字体,或者某种东西被一个像素移动,机器学习模型就可以找到它,”Ganacharya说。
老练的黑客现在愿意把他们的服务卖给想要从某人那里窃取信息的特定组织、个人或民族国家实体。
根据Ganacharya的说法,一些网络钓鱼服务提供商提供大量虚假网站的机器人网络,而另一些则向客户出售钓鱼工具包。