你對網絡釣魚瞭解多少?來參加我們的測試吧 - 《華爾街日報》

By Daniel Akst

當有人向你發送偽裝成合法來源(如銀行或政府機構)信函的虛假通信時,就會發生網絡釣魚。插圖:喬恩·克勞斯如果你近年來在互聯網上花費過時間,那麼很可能在某個時刻你已成為“網絡釣魚”的目標,這種騙局相對容易實施但難以防範。

當有人向你發送虛假通信(通常通過電子郵件或短信),偽裝成銀行或政府機構等合法來源的信函時,就會發生網絡釣魚。通常,發送者試圖獲取信息、信用卡號碼或資金轉賬。有時,附件中包含惡意軟件,或者有一個鏈接可以讓你登錄——也就是説,讓你的密碼被盜。

網絡釣魚現象不斷增長,需要持續保持警惕;每天發送數十億封釣魚郵件,有些是針對性極強的,有些則是廣泛傳播的。毫無疑問,你已經在收件箱中看到過騙子的誘餌。但你對這個主題真正瞭解多少?參加這個測驗,找出答案。

1. 在一項調查中,2022年有多少比例的組織表示他們至少遭遇過一次成功的網絡釣魚攻擊?

A) 44%

B) 64%

C) 84%

D) 99%

答案:C。 這項調查是網絡安全公司Proofpoint的《2023年網絡釣魚現狀報告》。Proofpoint的一位女發言人表示,該調查基於以下定義:“成功的網絡釣魚攻擊是一種基於電子郵件的攻擊,誘使收件人採取危險行動(例如點擊惡意鏈接、下載惡意軟件、提供憑證、執行電匯等)。”

2. 美國聯邦調查局互聯網犯罪投訴中心(簡稱IC3)去年記錄了300,497名網絡釣魚受害者。2018年的記錄數量是多少?

A) 2,637

B) 26,379

C) 263,790

D) 2,637,900

答案:B。 對FBI而言,“受害者”指提交投訴的人,因此該數據未反映未上報的網絡釣魚攻擊。但這確實顯示了短期內的大幅增長。IC3成立於2000年。該機構統計2022年已知網絡釣魚損失為52,089,159美元,儘管部分網絡安全公司聲稱實際數字更高。

3. “網絡釣魚”一詞如何得名?

A) 國際黑客拼錯了“fishing”(釣魚)。

B) 樂隊Phish的成員是最早記錄的受害者。

C) 它結合了“phreaking”(指利用電子設備逃避電話費用的術語)和“fishing”(釣魚)。

D) 數字詐騙者因擔心監控而避免常規拼寫。

答案:C。 正如Heather Vescent和Nick Selby在《網絡攻擊生存手冊》中解釋的,“phishing”是釣魚的變體合成詞,意為“使用電子誘餌、鈎住受害者並收線”。作者寫道,ph“是對互聯網出現前電話系統黑客行為‘phreaking’的致敬,由‘phreaks’實施”。其他資料表明“phreaking”本身可能是“phone”(電話)和“freaking”(怪異行為)的組合。

4. 我們已經定義了網絡釣魚,那麼什麼是語音釣魚(vishing)?

A) 通過虛擬專用網絡滲透計算機

B) 利用虛擬機侵入整個網絡

C) 在IP語音數據中隱藏惡意軟件指令

D) 通過電話或語音郵件試圖竊取私人信息

答案:D。 “vishing”中的“v”代表“語音”或“語音郵件”。

5. 反網絡釣魚工作組發起了一項國際意識提升活動。該活動的全球口號是什麼?

B) 停一停。想一想。再連接。

C) 連一口都不咬!

A) 這能通過嗅覺測試嗎?

D) 發現誘餌?別上鈎。

答案:B。 APWG 是一個由執法部門、科技公司、金融機構、學術界等組成的非營利聯盟,共同打擊網絡釣魚。

 6. “鯨釣”是另一種網絡釣魚。這是什麼意思?

A) 針對包含“Ahab”名字的電子郵件地址的網絡釣魚

B) 活動人士針對捕鯨公司進行的網絡釣魚

C) 針對可能接觸大量高質量機密信息的高層管理人員的網絡釣魚

D) 誘使用户執行“Jonah漏洞利用”,這是一個能滲透用户系統各個角落的大型代碼體

答案:C。在魚叉式網絡釣魚中,受害者通過使用關於他們的背景信息(有時從社交媒體收集)來使虛假電子郵件看起來合法。而在鯨釣中,目標變成了高層管理人員和官員。芝加哥附近的多米尼加大學IT專家Hassan Zamir指出,在這種情況下,犯罪者追求的是潛在的高額回報。在《信息專業人員的網絡安全:概念與應用》一書的一章中,Zamir指出,魚叉式網絡釣魚和鯨釣在社交媒體和電子郵件中都構成威脅。

7. 根據網絡安全公司Expel的數據,詐騙者在釣魚郵件主題行中最常使用的內容是什麼?

A) “發票附件”

B) “逾期通知”

C) “回覆:請求”

D) 他們大多留空主題行

答案:D。 Expel的季度威脅報告發現,超過半數的案例中主題行為空。“發票”和“訂單確認”也很常見,但使用頻率低得多。Expel反釣魚服務經理Hiranya Mir表示,空白主題行是“一個立即的危險信號”。Mir給出了不法分子留空主題行的三個原因:首先,避免觸發電子郵件安全軟件的敏感詞;其次,空白主題有時僅用於“確認目標地址是有效收件箱”;攻擊者可能將創意精力用於後續惡意內容。第三,Mir説空白主題“可能引發某些人的好奇心,促使他們打開郵件並與內容互動或回覆”。

8. 以下哪項措施無助於防止釣魚黑客利用非法獲取的登錄憑證?

A) 為所有在線賬户使用同一個強密碼。

B) 啓用雙重認證(如發送驗證碼到手機)。

C) 避免點擊未知或可疑的文件附件。

D) 有疑問時,用已知或公開列出的號碼聯繫發件人,切勿撥打郵件中提供的號碼(可能是欺詐號碼)。

答案:A. 為每個網站使用不同的強密碼。蘋果鑰匙串等密碼管理器可以為您生成並記住這些密碼。

9. 弱密碼會為入侵者提供輕鬆獲取聯繫人、私人信息等的途徑,從而助長網絡釣魚。在美國,最常用的密碼是什麼?

A)     guest

B)    123456

C)     password

D)    12345

答案:A. NordPass的數字安全產品包括密碼管理工具,該公司統計了全球最常用的密碼。在美國,最常用的密碼按使用頻率排序如上。該全球榜單差異不大,前四位依次是password、123456、123456789和guest。專業建議:不要使用這些密碼。

10. 如果您遭遇網絡釣魚詐騙,最不應該做的是什麼?

A) 在問題未解決前斷開電腦連接。

B) 立即通知相關方,尤其是IT部門。

C) 修改所有可能泄露的密碼。

D) 隱瞞事件並希望無人發現。

答案:D. 聯邦貿易委員會建議您將釣魚郵件轉發給反網絡釣魚工作組,並向FTC舉報,但由於釣魚郵件數量龐大,這些建議可能難以執行。FTC更可行的建議是“讓被冒充的公司或個人知曉該釣魚騙局”

更正與補充説明術語“語音釣魚”(vishing)可指欺詐電話及語音郵件。本文先前版本僅提及後者。(已於6月15日更正)

丹尼爾·阿克斯特是紐約哈德遜河谷地區的作家,聯繫方式:[email protected]

刊登於2023年6月7日印刷版,標題為《你對網絡釣魚知多少?來測一測》。