1.3 示例
我不太清楚你们的情况,但我和克里斯都善于从例子中学习。本节涵盖了一些因钓鱼攻击而受到重大损失的例子,并介绍了一些如今仍在使用的钓鱼手段。我们也会讨论为什么它们如此奏效。
首先,有必要提到反钓鱼工作组(APWG, www.apwg.org)。我们可以用好几页来介绍这些人,但是没有必要,你需要知道的就是反钓鱼工作组是一个全球安全爱好者联盟,他们对全球的钓鱼攻击进行研究、定义和报道。
根据反钓鱼工作组2014年8月的报告来看,钓鱼攻击仍旧数量惊人。2014年第二季度,消费者向反钓鱼工作组报告了128378个不同的钓鱼站点和171801封不同的钓鱼邮件。
这是自反钓鱼工作组开始追踪这些数据以来第二高的季度报告数值。交易服务和金融机构是主要攻击目标,占总体的60%。同时也呈现出了一个新趋势:针对在线支付和加密货币(crypto-currency)的攻击有所增加。
现在你已经总览了这些数据,是时候谈谈其中的细节了。
1.3.1 重大攻击
目前为止,塔吉特公司(Target Corporation)受到的攻击可能是最著名的案例之一。它影响了近1.1亿消费者——估计大约有4000万信用卡信息和7000万个人可识别信息遭到泄露;你的个人数据可能就在其中。这个事件中一个有趣的地方在于,攻击者似乎并非特意针对塔吉特公司。这是一起攻击升级的例子。塔吉特公司在开始的攻击成功后变成了一个潜在受害者。在这个案例中,最初的受害者是塔吉特公司的一家暖通空调(HAVC)供应商,它拥有塔吉特公司的网络证书。该供应商的一位员工收到了一封钓鱼邮件,然后他点击了邮件中会导致恶意软件加载的链接,恶意软件随后从承包商处窃取了他的登录信息。该承包商的网络和塔吉特公司的网络相连,用于账单和合同的递交等。现在还不清楚所有的攻击细节,但是攻击者最后进入了塔吉特公司的服务器,并攻陷了交易系统。
虽然对消费者造成的最终损失仍有待评估,但是塔吉特公司已经花费了2亿多美元以重印被盗取的信用卡——这还没有考虑日后可能发生的欺诈行为。总之,对于帮助人们意识到钓鱼攻击的危险性来说,这是生动而昂贵的一课。
另一起值得注意的攻击是关于RSA公司的,你可能都不记得那件事了。现在提起RSA,人们首先想起的是始于2013年年底的与国家安全局有关的加密算法的事情。此事的影响远超过2011年RSA公司经历的攻击事件。不同于塔吉特公司遭受的偶然性攻击,RSA公司所经历的看起来是一起针对RSA员工发动的攻击。显然,一封发给RSA低层员工的电子邮件中包含的恶意Excel附件导致了这一切(见图1-4)。
图1-4 RSA公司经历的钓鱼攻击
RSA公司的垃圾邮件过滤系统发现了这封邮件,并把它放进了用户的垃圾邮件文件夹内。令人感兴趣的地方就在这里:总有人要摆脱原本设计好的技术控制,做出一些不该做的事。至少有一位员工打开了那封邮件,并且点击了附件。这给了攻击者进入内部网络的机会,也最终使得他们有机会窃取RSA公司的一些产品信息。有报道称事件发生后的一个季度内,RSA的母公司EMC花费了6600万美元进行善后工作,包括业务监控和密钥更换。
另一起基于产品的攻击也值得注意,那就是2009年可口可乐公司遭受的攻击。这是一次非常有针对性的鱼叉式钓鱼攻击,攻击目标直指可口可乐公司高管。高管收到的邮件标题是“省电就是省钱!(来自CEO)”。这封电子邮件的标题显然很烂,但是还需要考虑一些因素。首先,这封邮件似乎来自于可口可乐公司法律部门的高管;其次,在受到攻击时,可口可乐公司恰好在推广节能运动(这证明攻击者事先做足了功课)。高管打开了邮件,然后点击了链接。这个链接看起来应该指向关于节能项目的更多信息,但实际上指向了一个恶意网站。网站后台加载了一系列的恶意程序,包括键盘记录等。这使得攻击者获得了企业内部网络和数据的访问权限,直到几周后才被发现。
这一攻击发生在2009年2月,在3月接到FBI(联邦调查局)的通知前,可口可乐公司并没有意识到有大量的敏感数据被盗。当时可口可乐公司正试图用24亿美元收购一家软饮料制造商,而收购最后失败了。失败的原因众说纷纭,但至少有一家安全组织声称,是由于谈判策略和收购价格等关键信息泄露给了对方才导致了谈判的失败。
正如之前提到的,对美联社的黑客攻击之所以令人印象深刻,是因为一条Twitter消息就对股票市场产生了巨大的影响。黑客只是通过简单的鱼叉式钓鱼攻击,让美联社的员工误以为邮件是同事发来的(如图1-5所示)。
图1-5 美联社受到的鱼叉式钓鱼攻击
尽管这封邮件含糊其辞,但它来自“已知”的来源,而且似乎指向了《华盛顿邮报》网站上的一个合法的页面。实际上受害者点击的链接指向了一个仿冒网站,这个网站是用来收集他们的登录信息的。该仿冒网站允许用户使用他们的Twitter账户进行授权登录,这就导致了后面的Twitter账户被盗。
显然,无论采取怎样的技术控制和安全策略,公司仍然和普通人一样容易受到网络钓鱼攻击。那么普通人会遇到的钓鱼攻击的例子是怎样的呢?下面一节将会介绍一些你可能已经见过的常见例子。
1.3.2 常见的钓鱼手段
如果不首先介绍“尼日利亚419”骗局,那么我们关于网络钓鱼这一主题的讨论注定会留下遗憾。这一骗局也称为预付款骗局,实际上它的历史已经有200多年了(可以想象,在平邮信的时代,这种骗局需要花很长的时间才能生效,但是它仍旧生效了)。它现在之所以被称为“尼日利亚骗局”是因为这种骗局很多都来源于尼日利亚,数字419指的是尼日利亚刑法中的欺诈类犯罪的编号。
你可能已经见过这类骗局。例如,一位富有的王子声称自己被废黜了,需要你帮助他转移他的大笔财富;或者一个快要死去的人后悔自己以前吝啬,需要你帮助他把财产捐给慈善机构。无论故事情节如何,这类骗局有几个不变的基本特征。
❑ 金钱的数额巨大。
❑ 他们相信你,一个对他们而言完全陌生的人,让你去转账、付款或者持有这笔钱。
❑ 你会获得一定的报酬,但你需要做下面这些事:
■ 为他们提供你的银行账户信息以便他们给你转账;
■ 协助他们付转账费用,主要是由于不稳定的政治局势或个人原因而导致他们无法自己支付转账费用。
图1-6展示了一个真实的例子,这是我最近收到的一封邮件。这封邮件来自加纳而非尼日利亚,但是你懂得意思就好。
图1-6 米歇尔收到的尼日利亚419网络钓鱼邮件
对于大多数人来说这是一个很明显的骗局,那么究竟是什么让我确定这并不是来自非洲王室的正当请求呢?
❑ 我并不认识任何非洲皇室的人,或者任何来自加纳矿业和能源部门的人,我甚至连任何叫约翰逊·艾迪约亚(Johnson Adiyah)的人都不认识。
❑ 约翰逊·艾迪约亚也没理由认识我,这是很显然的,因为他在邮件开头没提我的名字。这么大的一笔交易,他居然连对方的名字都不知道?
❑ 虽然我明白有些事会自然发生,但是这个请求实在是太突然了。
❑ 他们实在太信任我了(比起一家银行、一位熟人,甚至一家法律事务所),让我一个陌生人处理850万美元。虽然我认为自己的确是一个值得信任的人,但是你知道用850万美元我可以买多少蟹肉饼吗?
❑ 最后,尽管我相信发送者使用了拼写检查,但是他的英语很奇怪,似乎英语并不是他的母语。假如我真的在加纳认识一位约翰逊·艾迪约亚的话,这一点当然不成问题。尼日利亚419骗局只是一个入门级别的骗局,很容易辨别。你可能会想,既然如此,为什么200年后这个骗局仍然存在而且依旧会有人上当受骗呢?可能你自己也收到过这类邮件,那么为什么它仍然有效呢?
❑ 贪婪。这是第一原因,也是最基本的原因。大多数人永远不会有机会见到像419钓鱼骗局中那么多的钱,这一点会让很多人思维短路。这个故事有可能是真的,对不对?其实不是这样。但如果你可以说服自己总有一天会中彩票的话,那么进一步说服自己真会有陌生人让你拿着他的钱,可能也不是那么困难。
❑ 缺乏教育。在本书后面的部分,我们将会从不同的方面来谈这个因素。有很多人(直到现在,包括我母亲)对于有人想通过电子邮件窃取他们的身份信息或钱财这一点一无所知。
❑ 过于轻信。这个世界上有人完全信任其他人。如果说我们生活在一个轻信他人并不会给自己带来危险的世界,那真是太棒了。
除了为你提供巨额财富以外,坏人还喜欢使用一些常见的主题。有的主题至少能让你停下来怀疑它的真实性。
1.金融类主题
金融类主题是钓鱼攻击者的最爱。我们大部分人都会把钱存起来、转账、交税,因此当收到一封来自金融机构的通知时,人们通常是会打开邮件的。钓鱼攻击的方式无穷无尽,他们通常要求你在线提交账户信息细节以验证你的身份。最常见的金融钓鱼攻击包括下面这些类型。
❑ 账户有异常的登录请求。
❑ 银行升级了在线安全措施。
❑ 未按时还贷或者纳税。
图1-7到图1-10展示了一些例子。这些钓鱼攻击大部分都比尼日利亚骗局要复杂和完善,它们可能包括了商标和图片,看起来更正规一些。我们把这些骗局归类为中级钓鱼骗局。
图1-7 伪装成美国富国银行(Wells Fargo)邮件的钓鱼邮件
图1-10 伪装成贝宝公司(Paypal)邮件的钓鱼邮件
图1-8 伪装成美国银行(Bank of America)邮件的钓鱼邮件
图1-9 伪装成要求申报纳税邮件的钓鱼邮件
尽管这些钓鱼骗局手段更高明,但是仍然有一些蛛丝马迹可以让人判断它们是假的。
❑ 问候语通常是模糊的,难道银行不知道客户的名字吗?“尊贵的客户”不算。
❑ 拼写、语法和大写字母方面的问题,尽管比之前的好,但是仍然有一些奇怪的地方。
❑ 用于验证的链接指向的网址并不属于所谓的发件人。
❑ 使用紧迫的语气(“请立即回复,否则您的账户将被冻结”)。
这些邮件主要通过利用人们恐惧或焦虑的心理来迫使其采取行动。任何威胁到金钱的事情都是可怕的。实际上,本节中大多数例子都有很多共性,特别是让人们采取行动的方法。
❑ 利用权威。这是一条影响原则,第3章会详细谈到。人基本上是社会动物,我们都会对不同形式的权威做出反应。
❑ 时间限制。邮件中说你的账户会在48小时后销户!这种话的确增加了紧张感。出于我们的生存本能,任何对获取资源的限制都会让我们感受到威胁。
❑ 可能的危害。想到你的银行账户被检测到异常行为,可能是某些不法分子正在试探你的账户,这一点确实让人害怕。毕竟唯一应该在我金币附近徘徊的人是我——也可能是史矛革。
2.社交媒体威胁
另外一个你可能见过的常见主题是通过社交媒体进行的网络钓鱼。社交媒体的核心当然就是交际,因此如果你使用的社交媒体服务用邮件通知你有新的好友请求或者要求你点击某个链接,那么你通常不会怀疑。一般而言,这类邮件和金融类邮件的难度等级差不多,也可以通过相同的细节来进行识别。然而在我看来,这类邮件反而更容易让你中招,因为你既然加入了社交媒体,那么收到一些邀请就是很正常的,更重要的是,也是你期盼的。另外,这类邮件可能不会像银行邮件那样引起你的警觉,这会降低你的防范意识。
和金融服务钓鱼一样,这类邮件有时候也会利用恐惧来驱使某类行为,如图1-11所示。
图1-11 伪装成YouTube邮件的钓鱼邮件
恐惧是普遍的行为激发因素,但是失去社交媒体账号不只是紧要的事件,而且很不方便(对大多数人来说)。然而,社交媒体鼓励用户参与和相互联系,所以也给了攻击者其他的可乘之机。这些攻击也依赖于人们的责任感。社交媒体网站通过人们的相互联系而发展壮大,它们让参与社交变得有趣,让你成为某个小组的一员。钓鱼攻击者也使用相同的把戏。很多人点击链接是因为他们不想因为拒绝他人的好友请求而伤害他们的感情,或者他们不想因为不回应而显得粗鲁——即使是对他们不认识的人(见图1-12和图1-13)。
图1-12 伪装成Facebook邮件的钓鱼邮件
图1-13 伪装成LinkedIn邮件的钓鱼邮件
说明 小时候,我也有某种虚拟的关系,那就是我的女笔友。我清楚地记得,那时候虚拟关系的建立不像今天这样迅速直接。社交媒体对我来说依旧是一个有趣的东西。它为人们提供了一种简单快速的结交朋友的方式,不再局限于传统的社交圈和职场圈。不幸的是,这也导致了那些愿意结交朋友和扩大社交网络的人特别容易受到钓鱼攻击。从这一点来说,做个“与世隔绝”的人要安全得多。就在此刻,我的账户里大约有34个邀请(并非钓鱼)等待我处理。也许我应该尽快处理它们,否则人们可能会认为我不需要朋友。
3.公共事件诈骗
最后一类你可能见过的钓鱼欺诈真是令人发指。骗子在一起公共事件发生后直接进行钓鱼攻击,例如自然灾害、飞机坠毁或者恐怖袭击——基本上任何受到大量媒体关注的事情,同时也是大多数人重点关注的事情。他们利用了我们自然产生的恐惧、好奇和同情。用挑剔的眼光来看,这些攻击大都处于中级水平。它们包含了明显的非法标志。尽管如此,有些人很容易成为这类钓鱼攻击的受害者,因为他们仅凭情绪反应来处理这些事件。怎样让人们不经大脑就做出决定?激起强烈的情绪。第2章会讨论这种叫作“杏仁核劫持”(amygdala hijacking)的有趣现象。
在塔吉特公司宣布其系统漏洞后的24小时内,骗子就开始利用人们对于个人身份信息和财务状况的担忧心理。在已知的至少12种欺诈方法中,有一种是给塔吉特公司的顾客发邮件解释这件事,然后表示可以提供免费的信用卡监控服务。这种钓鱼攻击对任何人来说都很难识别,因为这封邮件就是塔吉特公司邮件的克隆版,如图1-14所示。你可能不得不检查发件人的邮件地址或者邮件中的链接来辨别真假。另外一点使得这封邮件非常具有欺骗性:真正的塔吉特公司邮件的发送者是TargetNew@target. bfi0.com,这个地址无论是谁都会觉得可疑。在迷惑和恐惧的影响下,塔吉特公司漏洞事件确实被坏人滥用了。
图1-14 是真的邮件还是钓鱼邮件
显然有塔吉特账户的人最容易受到这类欺诈。塔吉特公司是一家规模庞大的零售商,它的漏洞足以让每个人紧张不已。难道有人从未在塔吉特买过东西吗?
我和克里斯在这里谈这些并不是为了评判这件事,而是想要通过这件事来给大家提个醒。这种公共事件欺诈的灾后变体无疑是非常可怕的。这些钓鱼邮件并没有进行恐吓(这样已经很坏了),而是利用了你和其他人的关系。在波士顿马拉松爆炸案发生后的几小时内,骗子就开始行动了。很多钓鱼邮件只是简单地提供了一个似乎是指向爆炸视频的链接。它们利用人们天生的好奇心,而这些链接实际指向了一些会下载恶意软件的网站。此类钓鱼攻击的变种之一如图1-15所示,是一封伪造的来自CNN的邮件,它利用了人们对权威的盲从和天生的好奇心。
图1-15 波士顿马拉松钓鱼邮件的变种
最糟糕的是那些利用了人们想要帮助他人的愿望的钓鱼攻击。在悲剧事件发生后的几小时内,骗子会发送一些请求帮助的邮件。图1-16展示了一封在2011年日本发生海啸和地震后流传的邮件。报道指出,这类诈骗在第一次地震发生3小时后就开始出现了。
图1-16 日本海啸期间流传的钓鱼邮件
很容易判断图1-16中的邮件是一封钓鱼邮件,因为红十字会是直接通过它的网站接受募捐的,而不是通过像MoneyBookers这样的服务给一个雅虎邮箱汇款。但是在这次令人悲伤的公共事件后,又有很多人迫切地想要帮助其他人,于是不幸被骗。这类通过灾难进行的欺诈会通过打电话甚至是上门恳求的方式来使得他们的表现更逼真一些。
4.网络钓鱼小结
总结一下本节的内容,现实中的网络钓鱼有很多不同的形式,但是有一些共同的主题:
❑ 尼日利亚419骗局(提前预支费用或者窃取身份信息的变种)
❑ 金融/支付服务
❑ 社交媒体
❑ 利用公共事件
这个列表实际上还可以扩展,可以包括任何能进行在线沟通的实体[想想eBay、Netflix、软件升级和USPS(美国邮政)]。大多数钓鱼欺诈都可以归类为初级至中级难度,并且它们都有很多共性。举例来说,它们都用到了下面这些要素来迫使人们采取行动:
❑ 贪婪
❑ 恐惧
❑ 敬畏权威
❑ 渴望交流
❑ 好奇
❑ 同情
大多数网络钓鱼都有一些特征可供判断。然而,随着钓鱼攻击的手段变得高明,很多特征正在变得不明显:
❑ 含糊的称呼/签名
❑ 未知的/令人怀疑的发送者
❑ 未知的/令人怀疑的网址链接
❑ 错别字,以及语法、拼写和标点符号错误
❑ 不合情理的借口(特别是419骗局)
❑ 急迫的语气
1.3.3 更强大的钓鱼手段
你是不是觉得自己像是在用消防水带喝水?信息量大得要将你淹没。人们用来窃取信息的手段之巧妙和过程之离奇真是让人难以招架。更糟的是,前面的例子只是涉及了最基本的钓鱼攻击方式,还有更复杂(和令人沮丧)的方式。
我和克里斯把这些攻击方式按难度分类,是为了帮助客户理解他们所看到的东西,也是为了追踪客户的进步——能够识别越来越复杂的钓鱼攻击。第6章将会详细描述那些复杂的钓鱼攻击。
1.中级钓鱼攻击
你看到的例子大都是初中级难度,但是也有一些例子介于中级和高级之间。例如,塔吉特公司例子中的邮件是真的,只是链接指向了恶意网站。让我们对这些棘手的情况进行一些更深入的分析。
第一个例子是另外一起银行钓鱼欺诈事件,如图1-17所示。
图1-17 中级银行钓鱼攻击
让我们先谈谈骗子高明的部分。哪些因素可能会导致人们点击邮件中的链接呢?
❑ 银行商标。你可能早就注意到了这一点,但是很多比较高明的钓鱼攻击都会插入真正的商标和图片,这使得它们看起来更正规。因为我们已经习惯了各个公司给我们发邮件时显示的公司商标,所以加入商标是掩饰恶意信息并让我们放松警惕的一种方法。
❑ 利用恐惧/紧张心理。邮件声称如果你不采取行动,你的账户就可能会被冻结。
❑ 使用急迫语气。尽管这种信息不会规定你采取行动的时间,但是你也会被驱使迅速采取行动。
基于到目前已经谈到的那些问题,我希望你能够轻松地识别图1-17中提到的钓鱼攻击。抓住要点了吗?
❑ 没有个人化的问候。
❑ 发送者无从识别。
❑ 奇怪的语法,包括看上去不自然的主题。
❑ 链接重定向。如果你对链接进行调查,很可能会发现它并不是指向真正的银行站点(举例来说,不是访问www.citizensedmond.com,而是访问www.unknownand-likelyillegitimateperson.com)。
警告 这里“调查”的意思是指把鼠标悬停在链接上,这样你就可以看到真实的网络链接了。除非你是安全专家或者你的电脑防护性能很好,否则不要点击链接或者复制网址到浏览器地址栏中来访问它。
表面上看,图1-18中所展示的例子很像前面的银行邮件,但是有几个因素使得人们更难识别出它是一封欺诈性邮件。仔细看看这封邮件,然后思考一下。
图1-18 中级钓鱼攻击:伪装成BBB公司邮件的钓鱼邮件
仔细观察这封邮件后,你可能会捕捉到一些更为复杂的细节,这些细节使得图1-18中的钓鱼比普通的钓鱼攻击更高明。
❑ 更个人化的问候。这封邮件很显然是发给具体的某个人的,邮件中谈到了那个人的公司。尽管没有使用图片或者商标,但是BBB(Better Business Bureau)公司本身是一家知名机构。
❑ 更好地利用了恐惧/紧张心理。这是一封投诉邮件,来自BBB公司,特别提到了合同的事以及公司并没有回复投诉者的事。这些足够让一个公司所有者大吃一惊。
❑ 利用权威。邮件中谈到了参考编号、案件编号、OMB(美国预算管理局)号码,看起来非常正式。
❑ 邮件地址。发件者的邮箱看起来可信,因为看起来是来自@bbb.org域名的。
幸运的是,这封邮件仍然有一些漏洞,你注意到了吗?
❑ 邮件主题中的案件编号和邮件正文中的案件编号并不相同。
❑ 没有发件者的身份信息。虽然邮件来自BBB公司,但是你可能会想到这种事应该有专人负责联系你。
❑ 同样,如果调查邮件中链接到投诉信息的链接,会发现它并不指向BBB公司所拥有的域名。
❑ 仍然有轻微的语法错误。
❑ 我查了一下,BBB公司并没有消费者权益部门。
2.高级钓鱼攻击
是时候看一些更难识别的例子了。图1-19所示的是高级钓鱼攻击的例子。不像图1-13中LinkedIn的邮件,这封邮件更狡猾、更难识别。我怀疑这是一封邀请你与其他人关联的克隆邮件,就像图1-14中塔吉特公司的那封邮件一样。
图1-19 高级钓鱼攻击:伪装成LinkedIn公司邮件的钓鱼邮件
这封邮件为什么有效?
❑ 它发自一个“真实”的人。因为他有LinkedIn账户,所以他肯定是真的,不是吗?
❑ LinkedIn是社交媒体,所以你会期待有陌生人来邀请你。
❑ 邮件中有LinkedIn的商标,而且它和你之前收到的邀请邮件一样。
的确,图1-19中的钓鱼攻击做得很好。如果这是一封克隆邮件,那么它就不会在语言、格式或者商标上存在问题,所以你需要做更多的调查。
❑ 检查链接,看它们指向哪里。(再次提醒,检查并不是点击!)
❑ 确认发件人的邮箱地址是否与想要关联你的LinkedIn账户邮件地址一样。(要有批判性思维。)
❑ 如果你仍然不放心,那就忽略这封邮件,登录你的LinkedIn账户看看是否有邀请请求。
图1-20展示的是我的一位朋友收到的一封邮件。他收到AT&T(美国电话电报公司)的邮件是很寻常的一件事,因为他是AT&T的手机用户。幸运的是,他是极其注意安全的一类人,想在回复这封邮件之前仔细检查一下。我十分确信这是一次高级钓鱼攻击。
图1-20 高级钓鱼攻击:伪装成AT&T邮件的钓鱼邮件
我不知道图1-20中的那封邮件是否是AT&T公司邮件的克隆;如果不是,那么这封邮件的确很逼真。它会让大部分普通用户信以为真,原因如下。
❑ 使用AT&T的商标、颜色和图片。
❑ 没有明显的语法、拼写和标点符号问题。
❑ 以语音邮箱无法访问为借口,会让大部分人立即采取行动。
那么是什么让我的朋友避开了这次钓鱼攻击呢?
❑ 他花了一点时间才意识到他收到这封邮件的邮箱并不是与AT&T绑定的邮箱,这一点真是帮了他一把。
❑ 这封邮件没有个人问候。
❑ 邮件地址包含了一个恶意网址。我的朋友检查了所有的链接,发现了一件有趣的事情。整个邮件中除了一个网址是恶意的以外,其余的都是正常的网址。如果不是他非常彻底地检查了邮件,那么这看起来就像是一封真的邮件。
显然AT&T这封钓鱼邮件很难识别,因为它确实通过了基础的嗅探测试。幸运的是,我的朋友从来不通过邮件中的链接访问任何账户。希望你读完本书之后,至少能反思一下自己收发邮件的习惯。
1.3.4 鱼叉式网络钓鱼
在本章的最后,让我们谈谈鱼叉式网络钓鱼攻击。这是一种针对特定目标进行个人定制的钓鱼攻击。攻击者会花时间了解你,至少知道你的姓名和邮箱地址。他对你的了解会依据你的重要程度而定。通过搜索引擎,他可以在社交媒体上找到你的账户、网站,或者任何你在网上参与过的内容。如果你真的很重要,那么他可能会知道你的兴趣爱好和拥有的资产,甚至可能了解你的家庭情况。如果发现了你的一些丑闻或者尴尬的事,那么他甚至不用掩饰对你拥有的东西的企图。在这种情况下,他可能会用这些信息来敲诈你或者让你帮他获得更多信息。我跑题了,下面继续讨论网络钓鱼。
令人毛骨悚然的是,这种程度的调查可以制造出让人难以抵御的钓鱼攻击。一个非常想要从你手中拿走某些东西的攻击者会不择手段。他会知道你是否曾经得到严重的疾病而且现在是慈善机构的支持者。他会知道你是否喜欢在网上赌博,或者你是否有超出偿还能力的抵押贷款。这些都是鱼叉式网络钓鱼的核心,它是个人定制的。
图1-21是一起最近发生的鱼叉式网络钓鱼,它针对的是高层管理人员。你能想象你的邮箱收到一封这样的邮件吗?
图1-21 鱼叉式网络钓鱼
让我们来分析图1-21中的这封邮件,看看是什么让这封邮件充满说服力?
❑ 邮件中使用了美国地方法院的徽标。
❑ 邮件利用了恐惧和对权威的敬畏。有人曾经因为被传唤或者被命令出席审判而高兴吗?
❑ 个人化程度高,有全名、邮件地址、公司和电话号码。
❑ 邮件中包含了时间限制,有出席的时间以及不出席的后果。
❑ 没有任何明显的拼写或者语法错误。
❑ 发送者看起来似乎可信:subpoena@uscourts.com。
说实话,我认为对任何人来说这封邮件都很难判断真假。下面是我能找到的两个漏洞。
❑ 链接到传票的网站是恶意网站。这个例子中,它链接到了一个下载密码记录软件的网站。
❑ 发件人的邮件地址是@uscourts.com,看起来可信,但是实际上所有的法院邮箱地址都在顶级域名.gov下。
就是这样,你有两个机会判断出这封给你带来压力和紧张的邮件是假的。再次强调,除非你有一个根深蒂固的好习惯,否则你就会中招。