捕鲸攻击指的是,网络犯罪分子伪装成组织的高层人员,并直接对组织的目标高层人员或其他重要人员发起攻击,旨在窃取钱财或敏感数据,或者获取电脑系统访问权限来达到犯罪目的。捕鲸攻击也称为首席执行官诈骗,它与网络钓鱼类似,都是通过电子邮件和网站诈骗等手段来诱骗目标受害者执行特定操作(如泄露敏感数据或转账)。
然而,网络钓鱼诈骗针对的是群体,鱼叉式网络钓鱼针对的是特定个人,而捕鲸攻击甚至比后者更加精准:它不仅仅针对的是关键人员,而且冒充组织的特定高层人员或重要人物来发送诈骗通信。这些人物可被视为公司的“大鱼”或“鲸鱼”,例如首席执行官或财务经理。这相当于在网络钓鱼诈骗中增加社交工程策略:员工不愿意拒绝他们认为重要的人物提出的请求。
这类威胁切实存在,并且日益严峻。2016 年,Snapchat 的薪资部门收到一封捕鲸攻击邮件,诈骗者在邮件中冒充公司首席执行官,要求提供员工薪资信息。去年,玩具巨头美泰公司 (Mattel) 遭到捕鲸攻击,诈骗者冒充新任首席执行官向首席财务官发送了一封请求转账的电子邮件。结果,该公司因此损失了近 300 万美元。
捕鲸攻击是如何发生的以及如何保护自己
如前所述,捕鲸攻击与鱼叉式网络钓鱼的不同之处是,诈骗者会冒充高层人员发送诈骗通信。如果网络犯罪分子利用社交媒体等可公开获取的资源进行大量研究,从而针对目标受害者策划量身定制的诈骗手段,那么这类攻击可以变得更加可信。
攻击者可能会冒充高层管理者发送电子邮件,并且可能会在其中提到他们在网上收集到的一些信息,例如,如果他们在社交媒体上看到某人发布的办公室圣诞聚会照片,他们会在邮件中提到:“嗨,John,我是 Steve,又是我,上周四你真是喝得酩酊大醉啊!希望你的红衬衫上的啤酒渍已经擦掉啦!”
此外,发件人的电子邮件地址通常看起来与可信来源相似,甚至可能包含公司徽标或者指向诈骗网站(也会设计成看起来类似合法网站)的链接。由于“鲸鱼”往往在组织内拥有很高的信誉度和访问权限,对于犯罪分子而言,值得付出更多时间和精力让他们的通信看起来可信。
要防范捕鲸攻击,首先应该为组织内的关键人员提供教育培训,确保他们意识到自己可能成为攻击目标,并且始终保持警惕。鼓励关键员工对未经请求的联络保持适当程度的怀疑,尤其是在涉及重要信息或财务交易时。他们应该总是问问自己,收到该邮件、附件或者链接是否在预料当中?请求是否有任何不寻常之处?
他们还应该接受培训,了解如何识别攻击的明显迹象,例如伪造的(虚假)电子邮件地址和姓名。只需将光标悬停在电子邮件中的姓名上,即可显示其完整的电子邮件地址。只要仔细观察,就能确认其是否与公司名称及书写格式完全相符。公司 IT 部门也应该组织捕鲸攻击模拟演习,以测试关键员工的反应能力。
高管们也应该学会在 Facebook、Twitter 以及 LinkedIn 等社交媒体网站上发布和分享信息时特别注意。网络犯罪分子可以利用生日、爱好、假期计划、工作职称、晋升以及人际关系等详细信息来策划更高明的攻击。
要减轻诈骗电子邮件带来的威胁,最有效的一种方法是要求 IT 部门自动标记来自外部网络的电子邮件,以进行审查。要发起捕鲸攻击,网络犯罪分子通常必须要让关键人员相信消息来自组织内部,例如财务经理要求向某个账户汇款。标记外部邮件有助于识别表面上看似合法的虚假电子邮件,让未接受过培训的人员也能轻易识破骗局。
部署专业的反网络钓鱼软件,用来提供 URL 筛选和链接验证等服务,也是一种可取的做法。另外,也可以考虑在涉及发布敏感信息或发送巨额资金时增加额外的验证。例如,在处理关键或敏感任务时,最佳做法可能是面对面交流或者电话沟通,而不是简单地以电子方式进行交易。
另外,俗话说“一人计短,二人计长”,在应对网络骗局也是如此。因此,您可以考虑改变组织的办事程序,例如,签署付款时要求两人签字,而非一人。这不仅仅能够让一个人寻求旁人的看法来打消疑虑,也能消除他们的恐惧心理(他们害怕要是高层人员对遭到拒绝感到恼火,自己可能要单独面对处罚),而操纵恐惧情绪正是攻击者采用的一种关键社会工程策略。