网络钓鱼攻击是指欺诈性电子邮件、短信、电话或网站，它们旨在 操纵人们去下载 恶意软件 、共享敏感信息（例如，社保号和信用卡号、银行账号、登录凭据），或者采取其他行动，使自己或其组织暴露在网络犯罪分子面前。

网络钓鱼攻击一旦得逞，通常就会导致身份盗用、信用卡欺诈、勒索软件攻击、数据泄露以及个人和公司的巨额财务损失。

网络钓鱼是一种最常见的 社会工程 形式，是一种欺骗、施压或操纵他人将信息或资产发送给不当之人的行为。 社会工程攻击依靠人为错误和高压策略来取得成功。 攻击者通常会伪装成受害者信任的某个人或组织，例如，同事、老板、受害者或受害者的雇主所经营的公司，同时营造出一种紧迫感，导致受害者轻举妄动。 黑客之所以会使用这些伎俩，是因为与入侵计算机或网络相比，欺骗他人更容易得逞，且成本更低。

据 FBI 表示，网络钓鱼电子邮件是黑客最常用来向个人和组织交付 勒索软件 的攻击方法或载体。 根据 IBM 2021 年 《数据泄露成本报告》 显示，网络钓鱼是导致数据泄露的第四大最常见原因，它所造成的损失也高居第二位，每次泄露会导致企业平均损失 465 万美元。

批量电子邮件钓鱼是最常见的钓鱼攻击类型。 诈骗者会创建一封看似来自大型知名合法企业或组织（国家或全球银行、大型在线零售商、常见软件应用程序或应用的制造商）的电子邮件，并将其发送给数百万收件人。 批量电子邮件网络钓鱼是一种数字游戏：冒充的发件人越大型或越受欢迎，收件人中会成为客户、订阅者或成员的数量也就越多。

网络钓鱼电子邮件涉及一个主题，即冒充的发件人会以受信任的方法解决的主题，同时会引发强烈的情绪 - 恐惧、贪心、好奇心以及紧迫感或时间压力，以此引起收件人的注意。 典型的主题行包括“请更新您的用户个人资料”、“订单出现问题”、“您的结案文件已准备好，可以签署”以及“发票见附件”。

电子邮件正文指示收件人采取看似完全合理且与主题一致的操作，但会导致收件人泄露敏感信息（社保号、银行帐号、信用卡号、登录凭证）或下载文件，进而感染收件人的设备或网络。 例如，收件人可能会被引导到"单击此链接以更新您的个人资料"，但该链接会把他们带入一个虚假网站，他们会在那里输入真实的登录凭证，而且从表面上看更新了自己的个人资料。 或者，他们可能会被告知打开看似合法的附件，例如，“invoice20.xlsx”，但该附件会将恶意软件或恶意代码传送到收件人的设备或网络。

鱼叉式网络钓鱼是一种针对特定个人的网络钓鱼攻击 - 通常是对敏感数据或网络资源有特殊访问权限的人，或者是拥有一些特殊权限的人，诈骗者可以借助这些权限进行欺诈或实现非法目的。

鱼叉式网络钓鱼者研究目标的目的是，收集伪装成目标真正信任的个人或实体（朋友、上司、同僚、同事、受信任的供应商或金融机构）所需的信息，或冒充目标个人所需的信息。 社交媒体和社交网站已成为鱼叉式网络钓鱼研究的一大信息来源 - 人们会在那里公开祝贺同事，支持同事和供应商，并常常过度分享会议、活动或旅行计划。

掌握这些信息，鱼叉式网络钓鱼者就可以向目标发送包含特定个人详细信息或财务信息以及可信请求的消息，例如，“我知道您今晚要去度假 - 您能否在今天下班前支付此发票（或将 XXX.XX 美元转至此账户）？”

一些鱼叉式网络钓鱼电子邮件试图收集更多信息，为更大规模的攻击做准备。 例如，鱼叉式网络钓鱼邮件可能会要求 CEO 更新在短暂中断期间丢失的电子邮件帐户凭证，但提供的链接会将他们引导至恶意虚假网站，进而窃取这些凭证。 掌握了这些凭证后，攻击者就可以顺利访问 CEO 的邮箱，研究 CEO 的电子邮件来获取更多信息，并使用 CEO 真实的电子邮件地址直接从其电子邮件帐户发送让人信服的欺诈性信息。

这是一个企业电子邮件泄露 (BEC) 的例子，它是一种特别危险的鱼叉式网络钓鱼攻击，会诱骗企业员工向攻击者发送大量金钱或有价值的资产。 BEC 电子邮件是从企业最高级别的成员的电子邮件帐户发送或看似从企业高级成员（如律师、关键业务合作伙伴或大型供应商）发送，并且其中的详细信息足以让邮件本身看起来非常可信。

鱼叉式网络钓鱼并不是获取成功进行 BEC 攻击所需信息的唯一策略。 黑客还可以部署恶意软件或利用系统漏洞来访问电子邮件帐户数据。 如果他们无法访问帐户数据，黑客还可以尝试模仿发件人的地址，即使用与发件人的实际地址非常相似的电子邮件地址，致使收件人难以发现其中的异常。

无论采用何种策略，BEC 攻击一旦成功，都会是成本最高的网络攻击之一。 在最广为人知的 BEC 案例之一中，冒充某企业的 CEO 的黑客取得该公司财务部门的信任，将近 5000 万欧元转入一个欺诈性银行账户。

短信诈骗或短信网络钓鱼 使用手机或智能手机短信进行网络钓鱼。 最有效的短信网络钓鱼计划与背景信息有关，即与智能手机帐户管理或应用相关。 例如，接收者可能会收到一条文本消息，内容是要求支付无线账单并提供礼物作为“感谢”，或要求他们更新信用卡信息以继续使用流媒体服务。

语音网络钓鱼或电话诈骗 是通过电话进行的网络钓鱼。 借助基于 IP 的语音传输 (VoIP) 技术，诈骗者每天可以拨打数百万个自动语音钓鱼电话；他们通常通过来电显示欺骗让来电看似来自于合法组织或本地电话号码。 语音钓鱼电话通常会用信用卡处理问题、逾期付款或 IRS 问题来恐吓接听者。 接听者最终会向诈骗人员提供敏感数据；有些甚至会将自己计算机的远程控制权提供给电话另一端的诈骗者。

社交媒体网络钓鱼 利用社交媒体平台的多种功能进行网络钓鱼，以获取成员的敏感信息。 诈骗者使用平台本身的消息传递功能，例如，Facebook Messenger、LinkedIn 消息传递或 InMail、Twitter DM，与他们使用常规电子邮件和文本消息传递的方式大致相同。 他们还向用户发送看似来自社交网站的网络钓鱼电子邮件，要求收件人更新登录凭证或支付信息。 对于在不同社交媒体网站上使用相同登录凭证的受害者而言，这些攻击的代价特别高，这是极为常见的“最坏做法”。

应用或应用内消息传递 。 常用的智能手机应用和基于 Web 的（软件即服务，SaaS）应用会定期向用户发送电子邮件。 因此，伪造应用或软件供应商发出的电子邮件的网络钓鱼活动盯上了这些用户。 依然是玩数字游戏，诈骗者通常会伪造最受欢迎的应用和 Web 应用发出的电子邮件，如 PayPal、Microsoft Office 365 或 Teams，骗取这种网络钓鱼的最大收益。

鼓励组织教用户如何识别网络钓鱼诈骗，并形成处理任何可疑的电子邮件和短信的最佳实践。 例如，用户可以学会识别网络钓鱼电子邮件的如下特征（其他特征未列出）：

- 要求提供敏感或个人信息，或更新个人资料或付款信息
- 要求发送或转移资金
- 收件人未请求或未预料到的附件
- 一种紧迫感，无论是直接表达（如“您的账户将在今天关闭......”） 还是难以察觉（如，同事要求立即支付发票）的违法威胁或其他不实际的后果
- 违法威胁或其他不实际的后果
- 拼写或语法不佳
- 发件人地址不一致或造假
- 使用 Bit.Ly 或其他一些链接缩短服务来缩短链接
- 用文本图片代替文本（在消息中，或在消息中通过链接转至的网页上）

这些只是部分特征；坏消息是，黑客总在设计新的网络钓鱼技术，以更有效地避免被发现。 反网络钓鱼工作组每季度发布的 网络钓鱼趋势活动报告 （链接位于  ibm.com 外部）等出版物可以帮助组织与时俱进。

组织还可以鼓励或执行最佳实践，以减轻员工成为网络钓鱼侦探的压力。 例如，组织可以制定和传达明确的政策，例如，上级或同事不会通过电子邮件发送转账请求。 组织可以要求员工通过联系发件人或直接访问发件人的合法网站（不使用消息中提供的方式）来验证任何针对个人或敏感信息的请求。 组织还可以要求员工在接触到网络钓鱼尝试行为和可疑的电子邮件时必须向 IT 或安全小组报告。

尽管有最好的用户培训和细致的最佳实践，用户仍然会犯错。 幸运的是，一些成熟与新兴的终端以及网络安全技术可以帮助安全团队在培训和策略中断的情况下打击网络钓鱼。

- 垃圾邮件过滤器 结合目前的网络钓鱼诈骗和机器学习算法的数据来识别可疑的网络钓鱼电子邮件（和其他垃圾邮件），然后将它们移至单独的文件夹并禁用其中的所有链接。
- 防病毒和反恶意软件 可检测并消除网络钓鱼电子邮件中恶意的文件或代码。
- 多因素认证 需要除用户名和密码之外的至少一个其他登录凭证，例如，发送到用户手机的一次性代码。 通过提供并增加针对网络钓鱼诈骗或其他成功破坏密码的攻击的最后一道防线，多因素认证可破坏鱼叉式网络钓鱼攻击并防止发生 BEC。
- 网页过滤器 阻止用户访问已知的恶意网站（“黑名单”网站），并在用户访问可疑的恶意或虚假网站时显示警报。

集中式网络安全平台，例如 安全信息和事件管理 (SIEM) 、终端检测和响应 (EDR)、网络检测和响应 (NDR) 以及扩展检测和响应 (XDR)，将这些还有其他技术与不断更新的威胁情报和自动事件响应功能相结合，有助于组织在网络钓鱼诈骗攻击用户之前就进行预防，并限制通过终端或网络防御的网络钓鱼攻击的影响。