什么是欺骗?
欺骗是一种网络攻击,它将恶意通信伪装成来自合法来源的信息。威胁行为者通过冒充真实用户来实施这种技术,从而获得授权并获得对关键业务数据的访问权限。欺骗者依赖两个重要因素:欺骗本身和社会工程学。
欺骗可能是一封电子邮件或短信,看似来自可信的权威来源,如公司高管。同样,社交工程也会误导受害者与钓鱼 URL 或中毒下载等恶意工具进行交互。
如何欺骗
威胁行为者主要利用电子邮件欺骗来获取目标信息。通常,欺骗性电子邮件的内容会传达一种紧迫感或信息,利用目标的贪婪或恐惧心理。
欺骗示例
示例 1
想象一下,您公司的首席执行官发来一封紧急邮件,要求您删除社交媒体上的一篇帖子,因为它损害了企业的声誉。你的第一反应是点击链接查看帖子。但不幸的是,你的点击会将你带到一个盗取你信息的流氓网站。
示例 2
攻击者通过注册一个与贵公司类似的域名来欺骗域名,如 1earn.g5.com--一个与合法的 learn.g5.com 类似的域名,但字母l被数字 1 代替。
示例 3
电话冒充也是欺骗的一种形式:电话另一端的来电者谎称自己是银行代表,要求您提供账户或信用卡信息。欺骗者可以使用软件模仿来电显示,使他们的假电话看起来更可信,这种做法被称为电话号码欺骗。
欺骗攻击类型
电子邮件
电子邮件是威胁行为者的主要攻击载体。在电子邮件欺骗中,威胁者伪造电子邮件标头来改变电子邮件的来源。伪造电子邮件标题会欺骗目标,使其误以为电子邮件来自可信的供应商或客户。一些最成功的电子邮件欺骗攻击结合了商业电子邮件破坏和中间人攻击的攻击策略和技术,以获得持久性和逃避检测。
IP
在 IP 欺骗中,攻击者发送带有伪造源地址的 IP 数据包。这样,黑客就能隐藏自己的真实身份,假装成另一台计算机。IP 欺骗经常被用来发动DDoS 攻击。
DNS
DNS 欺骗又称 "缓存中毒",是一种通过更改 DNS 记录将流量重定向到假冒网站的攻击,而假冒网站似乎是预定目的地。
地址解析协议
地址解析协议 (ARP) 欺骗也被称为 ARP 中毒,它拦截数据流量。ARP 欺骗攻击会欺骗一台设备,使其向威胁行为者而非合法用户发送信号。
如何防止欺骗攻击
使用欺骗软件进行攻击会对业务连续性造成破坏性影响。以下技术和最佳实践可有效保护企业基础设施免受欺骗事件的影响。
打造健康的网络安全文化
在企业环境中培养健康的网络安全文化是应对网络安全挑战的最有效方法之一。IT 安全团队可以制定强大的安全意识计划,教育用户采取侦测、预防和纠正对策,以应对包括欺骗在内的威胁行为者策略。为确保持续有效,安全意识培训必须持续进行,并与不断变化的网络威胁形势保持一致。
使用深度数据包检测和数据包过滤
通过数据包过滤对 IP 数据包进行分析,并阻止那些源信息冲突的数据包。这是一种消除伪造 IP 数据包的智能方法,因为有敌意的数据包(尽管其标题声称)会到达网络之外。此外,大多数数据包过滤系统都包含 DPI(深度数据包检测)功能,因为攻击者拥有绕过基本数据包过滤器的策略。在 DPI 的帮助下,您可以创建同时考虑网络数据包报头和内容的规则,从而阻止多种不同类型的 IP 欺骗攻击。
识别并验证用户和系统
如果网络上的机器仅利用 IP 地址进行身份验证,那么 IP 欺骗就是一种可以规避身份验证控制的技术。相反,IT 团队应利用自动安全机制来部署验证程序,如相互证书验证、IPSec 和域验证,以验证用户与系统之间的连接。
使用认证和加密协议
安全专家创建了多个安全通信协议,包括 HTTPS 和 FTPS (SSH) 使用的安全外壳、互联网协议安全和传输层安全 (TLS)。这些协议一旦正确实施,就能验证您所连接的应用程序或设备,并对传输中的数据进行加密,从而降低欺骗攻击成功的概率。
零信任网络访问(ZTNA)可防止欺骗和社交工程攻击。CylanceGATEWAY™可在威胁行为者获得访问权限并开始横向移动之前确保网络安全。
