最新新闻:
  • 一文让你分清数据管理与数据治理
  • 一份更好的云灾难恢复计划指南
  • 机器学习已经悄悄潜入你的生活,你可能还没有发现
  • 为什么人工智能可以下好围棋却写不好诗?答案在这
  • 启动大数据项目之前需要问的5个问题
  • 数据高端人才十一项全球最具权威的大数据资质认证
  • 云技能黑带:点评十大顶级云计算认证
  • 为什么大数据工程师会在2017年越过越滋润?
  • “新零售”的新能力
  • 关于“大数据”的15条干货思考
  • 如何设计成功而有价值的数据可视化
  • 论数据中心德赢官网vwin工作的提升技巧
  • 数据中心网络布线工程必备七大件
  • 网络钓鱼进化之路
  • 为什么我们不能再过度依赖网关了?
  • 对象存储九大关键特征
  • 人工智能会统治世界吗?马克思早就给出了回答
  • 企业如何实现互联网+业务与IT的融合
  • PaaS是位好同志,但SaaS公司搞PaaS却不大靠谱
  • 如何构建一个私有存储云
  • 这是网络安全的基石:密码学2016大盘点
  • 为何企业无法从数据科学中真正获得价值?
  • 云灾难恢复服务:客户想要“DR即服务”
  • 展望2017年:这些技术将冲击我们的生活
  • 2017年云计算和数据中心五大趋势
  • 年关将至,历数今年悲催的宕机灾难
  • 2017科技行业七大趋势:无人机远途送货 5G测试全面
  • 又到年终,看九大企业技术趋势
  • CIO们的2017——5大领域4个技术将遭遇颠覆
  • 大数据失败案例提醒:8个不能犯的错误
  • CIO:IT从德赢官网vwin到运营
  • 面对网络边界的迷失?在虚拟环境获得真实可视性是
  • 马云乌镇演讲实录:未来30年是谁的天下?
  • AI技术大力冲击就业市场 哪些工作将被自动化取代?
  • 2016热门数据存储技术
  • CIO:淘汰你的不是新技术,而是旧思维
  • 如何成为数据分析师
  • 十大IT工作和工程
  • 三大恶意软件的绝密藏身之地:固件、控制器与BIOS
  • 网络与应用基础设施如何协同发展
  • 云端迁移需注意的9大要点
  • 成功的安全分析你需要注意这五个要素
  • 没有IT流程文档 企业将为IT所“绑架”
  • 网络安全:要通过去,晓未来
  • 让IT安全人员夜不能寐的11个数据问题
  • 人工智能、机器学习、深度学习的区别在哪?
  • 如何让云德赢官网vwin变得简单
  • 互联网下半场战争已打响 谁会成为下一个超级独角兽
  • 奥运看完看什么?这里有关于奥运背后的大数据
  • 思科第四财季净利同比增21% 宣布裁员5500人
  • 数据中心网络德赢官网vwin一指禅
  • 数据中心虚拟化所必备的条件
  • 技术分享:十大服务器虚拟化优化窍门揭秘
  • 国内最适宜建设数据中心地区,原来在这里
  • 智能时代:物联网10个商业模式
  • 传统咨询业必死,拥抱大数据才是未来
  • 微软纳德拉:自然语言对话将淘汰菜单 成为APP用户
  • 解密 Uber 数据团队的基础数据架构优化之路
  • 大数据挖掘价值在哪里?
  • 物联网未来十年将重构这八大行业
  • 中国CIO肩负三大任务
  • CIO:云计算数据中心德赢官网vwin管理要点
  • 云计算:如何辨识真正的云业务
  • 如何看待互联网时代的网络金融安全?
  • “互联网+”的数据地图:沟壑的显现与超车的可能
  • 大数据与统计新思维
  • AT&T如何成为美国物联网市场老大?
  • 全球大数据发展呈现六大趋势
  • 传统企业将向大规模定制转型升级
  • 云计算市场未来将会是谁的天下?
  • 凯文·凯利:大数据时代没有旁观者
  • IaaS市场大整合:云用户喜忧参半
  • 大牛数据分析师养成日记
  • 一大波威胁报告来袭,我们从中能get到什么?
  • 如何建立各部门都满意的影子IT战略
  • 我经历的IT公司面试及离职感受
  • 恶意软件逃避反病毒引擎的几个新方法
  • 德赢官网vwin好数据中心的四大法宝
  • 云管理成功的关键:应用工作流
  • 豪车虚拟钥匙虽然很炫酷 但也给了黑客机会
  • 数据中心业务迁移面临的五大挑战
  • 在你想不到的暗网上,黑客雇佣市场正蓬勃发展
  • 12年程序员职业生涯得到的12个经验教训
  • 人人都谈大数据,你考虑过小数据的感受吗?
  • 作为数据科学家应该知道的11件事
  • 提高攻击成本的“网络安全检查表”有多牛?
  • 确保AWS安全:避免犯常见错误
  • 从菜鸟成为数据科学家的 9步养成方案
  • 数据分析工作常见的七种错误及规避技巧
  • 分析信息化现状 企业IT规划成关键
  • 这些数据科学技能,才是老板们最想要的
  • 职业生涯提升计划:迈入数据科学新世界
  • 你get了无数技能,为什么一事无成
  • 【概念】IT德赢官网vwin服务的概念与维保的区别
  • 见招拆招 六招抓住代维违规“黑手”
  • 数据中心德赢官网vwin工作的提升技巧
  • 如何做好高效IT德赢官网vwin
  • 高效能人士的七个习惯
  • 云计算如何改变IT德赢官网vwin管理的未来
  • 如何做好IT德赢官网vwin管理
  • 如何做好大型数据中心的德赢官网vwin
  • 有效的项目管理(三)
  • 有效的项目管理(二)
  • 2016年的十大技术趋势
  • 有效的项目管理(一)
  • 新浪创业&IT桔子盘点:2015年创业格局盘点上篇
  • 微软将在下周一口气停止对IE8 IE9和IE10的支持
  • 七字诀,不再憋屈的德赢官网vwin
  • 高效数据中心德赢官网vwin团队的7个习惯
  • 联通电信合并 促进竞争还是加强垄断?
  • 智能家居是CES重头戏 但物联网通信才是关键
  • 山东vwin德赢app下载恭祝大家元旦快乐
  • 杨元庆:应尽快出台个人信息保护法
  • IBM称不会放弃硬件业务
  • 习近平:把我国从网络大国建设成为网络强国
  • 传IBM启动新一轮裁员:至少波及1.3万人
  • 甲骨文与IBM纷纷展开并购 云计算倒逼转型加速
  • vwin德赢app下载公司恭祝大家新春快乐
  • vwin德赢app下载公司开通全国统一客服电话4008531853
  • vwin德赢app下载公司正式开通新浪企业微博
  • vwin德赢app下载微信订阅号正式上线
  • 山东vwin德赢app下载网络技术有限公司成功签约山东联通Sybase
  • 云计算战争中国开打:国际巨头落地公有云
  • 虚拟运营带给中国通信业的六个变化
  • 英特尔将推出15核服务器芯片
  • 4G发牌深入分析:移动互联网公司受益最大
  • 英将发报告“积极评价”华为 解除“安全警报”
  • 电子卖场衰落谋转型:IT+美食+时尚成趋势
  • 数据显示Win8全球市场份额继续下滑
  • 高交会风向:科技“恋不上”资本
  • 山东vwin德赢app下载网络技术有限公司成功中标济南移动服务器
  • 山东vwin德赢app下载网络技术有限公司顺利通过一般纳税人认定
  • 山东vwin德赢app下载网络技术有限公司正式开通官方网站
  • 网络钓鱼进化之路
    作者:安全牛  来源:安全牛  发表时间:2017-2-20  点击:1857
    如果你已经有了邮箱账号或社交媒体个人资料,很可能你已经遇到了某种类型的网络钓鱼。一句话解释,网络钓鱼就是通过社会工程偷盗个人信息的诈骗尝试:犯罪欺诈行为。

      威瑞森最新的《数据泄露调查报告》指出:社会工程对目标用户的有效程度依然令人心惊,2016年超过30%的网络钓鱼消息都被打开了——2014年钓鱼消息打开比例仅为24%。甚至有专家称,没有任何一个地区、行业或公司可以躲过网络钓鱼。

      进一步分析发现,凭证渗漏和交易秘密盗窃,依然是黑客的主要动机,而网络钓鱼的威胁正处于令人担心的上升过程。非营利组织“反网络钓鱼工作组(APWG)”的发现印证了该观点。APWG发现零售业是最常被锁定的目标,有记录的攻击就超过了40%。

      AOL、盗版软件与网络钓鱼的起源

      社会工程技术一直就是犯罪教科书的一部分;最早的网络钓鱼案例,发生在20多年前。90年代初期,攻击者将曾经流行的AOL平台锁定为目标,使用即时消息诱骗用户透露他们的口令。

      这些攻击者锁定高价值目标的耗时不算太长,毫无戒备的受害者在“不验证账单信息就马上删除账户”的压力之下,往往很快就什么都吐露了。进一步演化,犯罪团伙不仅能获得受害者的AOL凭证,他们的银行账号和支付卡信息也不能幸免。

      AOL强化了他们的反欺诈行动,实现新方法以主动删除涉嫌网络钓鱼的账户。这是决定性的一击,迫使攻击者转而搜索新的机会。

      犯罪活动

      网络钓鱼伴随着粗制滥造的电子邮件进入主流,这些邮件满是拼写错误、低分辨率的图片和设计问题,用户很容易就能分辨出这些所谓的“迹象”。

      同时,用户也习惯于将拼写错误等同于网络钓鱼,而将拼写、语法和展示无错的网站默认为合法的。还有另一个惯性思维是,“HTTPS==100%安全”——研究人员经常发现有威胁活动使用Let’sEncrypt凭证(使用域名验证SSL)来灌输危险的错误安全感。

      如果想了解网络钓鱼研究前沿,可以在推特上粉“恶意软件猎手团队”。该团队由@JAMESWT_MHT、@techhelplistcom和@demonslay335组成,发现并摧毁针对iCloud、PayPal和Facebook之类服务用户的恶意活动。

      WombatSecurityTechnologies在其开篇的《网络钓鱼状态》报告中提示了几点意见。该调查报告发布于2016年1月,发现点击率最高的网络钓鱼活动涉及的话题,都是人们在日常工作中经常遇到的那些,包括物流确认和HR文书。

      有趣的是,雇员在打开以“快速致富”计划、奖励和竞赛为噱头的邮件时,反而更加谨慎。考虑到我们可以从这些报告中抽取的普世经验时,一个明显的发现就是,网络钓鱼依然是各种攻击的主催化剂。

      鱼叉式网络钓鱼

      过去10年里最恶名昭彰的一些网络犯罪,就拿零售连锁店、大学和银行来说吧,都是由某用户打开了一封鱼叉式网络钓鱼邮件引发的。传统网络钓鱼采用广撒网战术,寄希望于中奖似的机会,鱼叉式网络钓鱼则是高度针对性的。

      技术研究公司VansonBourne将成功鱼叉式网络钓鱼攻击的平均经济影响定位在160万美元。利用收集到的信息和开源情报(OSINT)馈送,黑客为精选出来的一小部分雇员精心编制个性化的诱饵邮件。

      由于鱼叉式网络钓鱼邮件如此与众不同,传统信誉和垃圾邮件过滤往往检测不出其中包含的恶意内容。鱼叉式网络钓鱼攻击还能结合进发家伪造、多态URL和偷渡式下载来规避常规防护措施。

      钓鲸和CEO诈骗

      钓鲸,是用来描述专门针对单一高调商业目标的网络钓鱼攻击的。CEO、部门主管和其他高管级员工,代表着公司的大鱼。

      钓鲸攻击中,黑客发送的邮件都带有精心制作的托辞——往往围绕“紧急电汇”或金融交易编织而成。因此,钓鲸往往被等同于CEO诈骗和商业电子邮件入侵(BEC)骗局。

      新兴技术

      1.社交媒体欺骗

      2016年末,Proofpoint报道了网络罪犯冒用英国银行客户服务部门推特资料的事。这些高级黑客模仿了银行员工的命名惯例、可见资产和特殊习惯。

      网络罪犯用与你真实客户支持账号相似的昵称,创建极具可信度的虚假客户服务账号。然后,他们等待客户向真实账号求助。当你的客户试图联系公司时,罪犯就会通过发自虚假支持页面的虚假客户支持链接来劫持对话。

      这种别名为“安康鱼”的网络钓鱼攻击方法(注意别与Angler漏洞利用工具包搞混了),因为客户早已预期收到公司的回复,而成功率极高。在最近的《社交媒体品牌欺诈报告》中,Proofpoint发现,与10家全球品牌有关的社交媒体账号中,近20%都是虚假的。

      2.勒索软件和软定位

      PhishMe的2016第1季度《恶意软件综述》发现,有记录的所有网络钓鱼邮件中,92%都含有某种加密勒索软件。到了第3季度,该数字增长到了97%。

      研究人员指出,Locky继续领跑最灵活勒索软件变种家族,犯罪团伙不断精炼其构造和投放方式。软定位和广分布攻击的使用也是关键;“软定位”部署的网络钓鱼,介于钓鲸攻击和大规模网络钓鱼邮件之间。

      PhishMe的报告,给读者留下了令人不安的结论:

      对勒索软件的快速意识和关注,迫使攻击者转移和迭代他们的战术,无论攻击载荷还是投放方式。这一持续的韧性显示出,仅仅意识到网络钓鱼和威胁,是不够的。

      3.Dropbox和GoogleDrive

      基于云存储服务的网络钓鱼活动,比如GoogleDrive和Dropbox,已经存在好些年了。这些在形式上通常很传统——用链接和暗示导引受害者到虚假登录页面。

      最近就有人遇到过罪犯将图像伪装成Gmail里的PDF附件,但实际上就是个导引用户到谷歌账户钓鱼网站的链接。

      保持安全的6条建议:

      1.避免回复可疑邮件或与发送者产生联系

      2.自己打开网站——不要点击嵌入的链接或媒体

      3.警惕含有催促或威胁意味的托辞

      4.用带外通信核实请求和信息

      5.检查浏览器以确保反网络钓鱼服务是启用的

      6.使用口令管理器;不要跨多个网站重用同样的口令

    服务项目

    维保德赢官网vwin服务

    信息系统集成服务

    机房搬迁服务

     
     
     
     
    电话:
    0531-88818533
    客服QQ
    2061058957
    1905215487