网络钓鱼是网络攻击最常见的品种之一,并且已经存在了很长时间。该电子书解释了不同类型的网络钓鱼功能,并提供了保护用户和组织免受攻击的策略。
从电子书中:
恶意演员通常在攻击中采用各种网络钓鱼技术:
欺骗性的链接
最常用的攻击者和最可靠的策略是掩盖恶意链接,以指向合法或值得信赖的来源。这些类型的网络钓鱼攻击可以采用任何数量的形式,例如利用拼写错误的URL,为恶意网站创建子域或使用混乱的类似域。
有关这三种策略的示例,请考虑以下几个:字母I非常接近标准QWERTY键盘上的L,这将使“ Googie”成为“ Google”的合理替身。对于子域,攻击者控制示例可为该域创建子域(例如,“ www.paypal.example.com”),该URL的开始似乎是合法的。对于令人困惑的类似领域,在2016年美国总统大选期间的网络钓鱼攻击中,“ Account-Google.com”域被注册为“ councors.google.com”的克隆。
国际域名(IDN)也可用于通过允许使用非ASCII字符来创建令人困惑的相似域名。不同脚本中字符之间的视觉相似性(称为同属同词)可用于创建具有视觉上不可见为差异的域名,使用户相信一个域实际上是另一个域。
网站克隆,伪造和秘密重定向
恶意参与者可以使用易受跨站点脚本(XSS)攻击的网站将其内容注入所攻击的服务的实际网站。 XS可用于收获在折衷的网站上输入的数据(包括用户名/密码字段),以便攻击者在以后使用。
一些网络钓鱼攻击使用XS创建弹出窗口,该弹出窗口起源于脆弱的网站,但加载了由攻击者控制的页面。通常,这种类型的秘密重定向会加载登录形式以收获登录凭据。由于这种类型的攻击率的流行,大多数浏览器现在在弹出窗口中显示地址栏。
语音和文字网络钓鱼
恶意演员还依靠电话和短信来收获帐户信息,发送给银行客户声称其帐户访问已被禁用,并提示用户拨打电话号码或使用攻击者设置的网站,从中可以从中获得帐户信息收获。
![[PS5] Mighty Morphin Power Rangers:丽塔的倒带评论](https://flnug.com/tech/yolando/wp-content/uploads/2024/12/Mighty-Morphin-Power-Rangers-Ritas-Rewind-Main.jpg)
![[PlayStation 5] 伊苏回忆录:费尔加纳的誓言评论](https://flnug.com/tech/yolando/wp-content/uploads/2024/07/Ys-Memoire-The-Oath-in-Felghana-Main-R.jpg)
