冒充攻击

冒充攻击是指试图通过伪装成授权用户来获得对信息系统的未授权访问。

根据 安全杂志的数据,在2020年第一季度和2021年第一季度之间,捕鲸和冒充高管的行为惊人地增加了131%,55%的网络安全专家表示,他们公司的高管已经被欺骗了。这些攻击仅在去年就给企业造成了18亿美元的损失。

这个问题是如此普遍,以至于高管每收到3226封邮件中就有一封(每24天一次)是冒名顶替的企图。

在这篇文章中,我们阐述了你需要知道的关于冒充攻击的一切,它们的类型,如何检测它们,以及如何保护你的组织免受其害。

什么是冒名顶替攻击?

冒充攻击是社会工程的一种形式,攻击者假装成其他人或冒充合法用户(或一组用户),以获得他们无权拥有的信息。

在这种类型的攻击中,攻击者通常会使用社会工程技术来获得有关系统和/或目标的信息,如冒充IT部门的成员并要求提供登录凭证。

冒名顶替的攻击可以是当面的,也可以是通过电话,或者在线的。如果不被发现,可能是灾难性的。

冒名顶替攻击是如何进行的?

冒充是指恶意行为者假装成合法用户或服务,以获得受保护的信息。冒名顶替攻击很容易实施,而且可能造成很大的破坏,这取决于攻击者试图获得的数据类型。

攻击者需要做的就是收集足够的关于合法用户或服务的信息,以欺骗他人,使其认为他们是他们所说的人。然后,攻击者将试图让他们的目标(或目标)透露敏感信息,否则这些信息将受到安全措施的保护。

在许多情况下,攻击者会使用电子邮件或其他通信形式来尝试冒充攻击。他们会假装成其他人发送电子邮件(被称为欺骗),这可能包括含有将恶意软件下载到毫无戒心的用户系统中的链接的钓鱼邮件。

攻击者使用的另一种方法被称为 "捕鲸";这涉及窃取经理或所有者的身份,并发送电子邮件,指示员工转移资金或提供其他敏感信息。由于该电子邮件看起来是来自于一个有权威地位的人,许多员工会毫不犹豫地按照指示行事。

冒名顶替攻击是如何策划的?

为了制定一个冒充攻击的计划,黑客首先需要收集目标的信息。他们通常会使用公开可用的信息,如社交媒体资料和公司网站上的公开信息。黑客可以利用这些信息创建一个真实的角色,并开始与目标公司的员工互动。

黑客将使用符合这个角色预期的方法与员工联系。黑客可能会使用一个假的商业电子邮件地址或电话号码给员工发电子邮件、发短信或打电话,该地址或电话号码与公司的实际电子邮件或电话号码尽可能地吻合--区别是存在的,但肉眼几乎看不到它。

这让员工感觉到他们正在与组织中的知名人士互动。

这里有一个冒充电子邮件的例子。

[email protected]

[email protected]

正如你在上面看到的,这两封邮件之间的差异是微妙的,很容易被忽略,特别是当你每天收到数百封邮件时。

一旦黑客获得了员工的信任,他们就会向他们发送一封看似来自真实公司来源的电子邮件。这些电子邮件通常包含要求员工提供个人信息或要求员工采取行动(例如,下载文件)的网站链接。这些网站和文件被感染了恶意软件,使黑客能够访问数据,窃取个人信息,或在公司的网络上引入其他网络攻击。

像这样的伪造发件人地址会通过严格的 DMARC政策的政策,你可以利用它来保护你的电子邮件,使其免受冒充攻击。

一些常见的冒名顶替攻击战术

攻击者可能通过几种方式试图冒充你或你认识的人。以下是一些常见的策略。

1.免费电子邮件账户攻击

攻击者使用免费的电子邮件服务,从与目标使用的电子邮件地址类似的地方发送信息。这种策略可以用来说服人们访问一个恶意网站或下载恶意软件,或提供密码或信用卡号码等信息。

2.表哥域攻击

在表亲域名攻击中,攻击者创建了一个看起来与你的银行网站几乎相同的网站--但以.com而不是.org或.net结尾,例如。然后他们从这个假网站发送电子邮件:当人们点击这些电子邮件中的链接时,他们将被带到这个假网站,而不是他们真正的银行网站。

3.伪造信封发送者攻击

攻击者将创建一封电子邮件,其发件人地址似乎来自一个已知的公司,如 "[email protected]"。因为这个地址看起来是合法的,它可以绕过大多数邮件服务器的过滤器。然后,攻击者以受害者为目标,引诱他们点击链接或打开附件,让恶意软件感染他们的电脑。

4.伪造报头发送者攻击

头部发件人攻击是电子邮件欺骗的一种类型,可以用来欺骗人们相信邮件是由真实来源以外的人发送的。在这种类型的攻击中,电子邮件头中的 "发件人 "字段被修改,以包括一个不同于实际发送邮件的地址。这可以通过改变 "发件人:"或 "返回路径:"字段,或两者来实现。这些攻击的目的是使电子邮件看起来像是由其他人发送的,如商业伙伴或朋友,以欺骗收件人打开来自他们认识的人的邮件。

5.被破坏的电子邮件账户攻击

在这种攻击中,攻击者获得了对合法电子邮件账户的访问权,然后使用该账户向组织中的其他人发送电子邮件和信息。攻击者可能声称自己是具有特殊知识或权力的雇员,也可能冒充确实具有特殊知识或权力的另一人。

6.首席执行官欺诈性攻击

在这种攻击中,攻击者冒充公司的首席执行官,试图说服员工或客户他们需要访问敏感信息。攻击者通常会使用社会工程学技术,如钓鱼邮件或电话,使其看起来像是从你公司的IT部门内部打来的。他们经常会使用针对你的行业或业务的语言,听起来更合法和值得信赖,同时要求提供敏感信息,如密码或信用卡号码。

7.中间人(MITM)攻击

这种类型的攻击涉及到攻击者拦截你与合法服务的通信,然后将它们转发给合法服务,就像它们来自你一样。通过这种方式,攻击者可以窃听你的通信,修改它,或完全阻止它发生。

如何识别冒名顶替的攻击?

一种紧迫感。攻击者可能通过在电子邮件中使用紧急语气来敦促接收者立即采取行动(例如立即启动电汇,否则他们的账户将被永久封锁)。这给受害者施压,让他们不假思索地采取行动。

保密性。攻击者可能表示他们所要求的信息应该保密,暗示信息的披露可能导致严重的后果。

要求分享敏感信息。攻击者可能要求你提供只有你的银行才知道的信息,如你的账号或密码。他们还可能要求你分享你的公司凭证,这些凭证是只有你才能访问的私人信息。这将反过来让他们进入你公司的数据库并泄露敏感信息。

修改的电子邮件地址。例如,如果你收到一封假装来自 "亚马逊 "的电子邮件,要求你登录并更新你的账户信息,但电子邮件地址实际上是 "[email protected]",那么这可能是一种冒充攻击。

写得不好的电子邮件。 钓鱼邮件写得很差,经常有拼写和语法错误,因为它们通常是大规模生成的。

恶意链接或附件的存在。 恶意链接和附件是进行冒名顶替攻击的一种常见方式。这些类型的攻击可以通过存在以下情况来识别。

  • 在新标签页而不是当前标签页中打开的链接。
  • 带有奇怪标题或文件扩展名(如 "附件 "或".zip")的附件。
  • 含有可执行文件(如.exe)的附件。

严防冒名顶替

1.公司需要意识到,网络安全培训对于保护自己免受这种类型的攻击至关重要。培训内容应包括:

  •  攻击者如何冒充用户并获得对系统的访问权
  •  如何识别有人试图冒充你的迹象,以便你能在任何损害发生之前采取行动
  •  双因素认证等预防控制措施如何有助于防止有人试图冒充你进行未经授权的访问尝试

2.公司的电子邮件域名也应受到保护,以防止冒充攻击。这意味着要有严格的政策,在你的组织内注册新的域名和账户,以及跟踪谁可以访问每一个账户,以便在必要时可以删除它们。

3.当你为你的企业创建一个电子邮件帐户时,确保它使用一个特定于你企业的域名。不要使用"@gmail "或"@yahoo",因为这些域名太通用了,可能会被任何想冒充你的人使用。相反,使用像"@yourbusinessnamehere.com "这样的域名,用你的公司名称来代替 "yourbusinessnamehere"。这样,如果有人试图通过从另一个电子邮件地址发送电子邮件来冒充你,没有人会相信他们,因为他们知道什么域名与你的业务相配。

4.公司必须考虑实施电子邮件安全解决方案,如 DMARC分析器阻止冒名顶替的域名通过认证传递带有可疑附件或链接的电子邮件(如钓鱼邮件)。

你想获得24/7的保护以防止冒名顶替吗? PowerDMARC是一个电子邮件认证解决方案供应商--提供旨在使企业确保其电子邮件通信安全的服务。我们帮助您管理您的域名的声誉,确保只有来自授权发件人的电子邮件将通过安全网关传递,同时也保护它不被网络犯罪分子和钓鱼者欺骗。

Ahona Rudra的最新文章(查看全部)