为什么鱼叉式网络钓鱼特别危险？

fabiha01

如今，大多数公司及其员工可能都知道网络钓鱼电子邮件可能造成的负面后果。作为培训的一部分，员工还会被指导如何识别网络钓鱼电子邮件——特别是非个人问候、拼写错误和快速行动请求等特征应该引起怀疑。然而，公司目前还必须防范所谓的鱼叉式网络钓鱼电子邮件，这些电子邮件包含明确针对个别员工或较小员工群体的攻击。

有针对性的鱼叉式网络钓鱼攻击
“经典”网络钓鱼和鱼叉式网络钓鱼之间的最大区别在于，发送的电子邮件内容是根据收件人精确定制的。网络犯罪分子需要花费大量时间（有时甚至几个月）来监视受害者并了解他们的个人习惯和偏好。这些人通常是拥有扩展访问权限的高级员工。

有关员工的信息是从社交媒体和其他公共来源收集的（例如，受害者创建的其他公司的评论）。根据所获得的信息，以这样的方式制定信息，使得内容乍一看是真实的。需要注意的是，鱼叉式网络钓鱼并不局限于电子邮件。网络钓鱼信息也通过其他通信渠道发送，例如社交媒体。

在定制信息中，诈骗者会冒充网上零售商、金融机构代表、商业伙伴、熟人、上级或同事，奥地利商业传真列表 并强调个人信息或公司当前发展情况，以赢得收件人的信任。

心理影响因素
除了上述手段外，还会使用心理技巧来让收件人泄露重要数据。这些尤其包括：

尊重权威：鼓励员工采取行动 – 例如B. 付款。该电子邮件通常代表主管或董事会成员发送。
愿意提供帮助：受害者收到同事熟人发来的消息，请求帮助解决问题。附件或链接中包含恶意软件，会在不知不觉中感染计算机和系统。
时间压力：员工需要向指定的项目经理发送时间紧迫的项目信息。
威胁：一名所谓的主管询问员工可能犯的一个错误。附件包含恶意软件。
重要信息：发送一封电子邮件，其中包含有关内部组织或工作方法的相关信息，其中包括恶意软件的链接。
人工智能的使用
人工智能 (AI) 使黑客更容易发起网络钓鱼攻击，因为它允许欺诈者更快地访问在线发布的潜在收件人信息。

此外，ChatGPT 等工具可以了解一个人的行为模式并创建看似可信的信息。根据新加坡政府科技局的研究，人工智能创作的新闻内容比人类撰写的新闻内容更可信。因此，不能排除在可预见的未来会发送大量令人信服的、个性化的网络钓鱼电子邮件。

另一方面，许多安全专家认为，人工智能将很快被用来披露人工智能生成的文本和打击鱼叉式网络钓鱼。

鱼叉式网络钓鱼攻击能被阻止吗？
为了保护自己免受各种网络安全攻击，公司通常应该采取适当的信息措施——例如B. 定期进行软件更新、审计和渗透测试。然而，由于网络犯罪分子的手段不断演变，并非所有网络钓鱼电子邮件都能被自动电子邮件过滤器拦截。

经验表明，在每一次（鱼叉式）网络钓鱼攻击中，人类仍然是最大的弱点。因此，对员工进行培训并提高他们对日常工作生活中欺诈行为问题的认识至关重要。安全意识培训可以与其他措施相结合，包括网络钓鱼模拟。然而，必须详细检查各个援助措施的有效性。

此外，应尽可能避免公开有关内部流程、内部公司结构或职责的潜在敏感信息。双因素身份验证有助于防止未经授权的访问，尤其是在成功的网络钓鱼攻击中登录凭据被盗时。此外，公司有必要定期审查实施的信息安全措施的总体状况，以便在网络钓鱼攻击成功时将潜在损害降至最低。