捕捉多面钓鱼

网络钓鱼仍然是网络安全领域一个特别顽固的威胁。它之所以持续存在，部分原因是尽管攻击者的目标始终是同一个——用户的登录凭证和其他敏感信息，但他们的攻击手段却从未停止演变和调整。

近年来，一种越来越流行的技术是使用动态生成的钓鱼页面。使用专用的钓鱼即服务 (PhaaS) 工具包，攻击者可以即时生成看似真实的钓鱼页面，并根据目标用户进行定制。

无需费力克隆目标网站，即使是技术水平较低的攻击者也可以利用这些工具包为他们完成繁重的工作——而且是实时且大规模的。LogoKit 就是一个著名的此类工具集的例子，它于 2021 年首次登上新闻头条，自那以后就一直广为流传。

那么，这些技巧究竟如何发挥作用呢？

可以预见的是，诱惑通常以一封旨在创造紧迫感或好奇心的电子邮件开始——旨在让你不假思索地快速点击。

单击该链接将带您进入一个可以自动检索被冒充公司徽标的网站，同时滥用合法第三方营销服务（如 Clearbit）的API（应用程序编程接口）。

换句话说，凭证收集页面会查询业务数据聚合器和简单的图标查找服务等来源，以获取被冒充公司的徽标和其他品牌元素，有时甚至会添加微妙的视觉提示或背景细节，进一步增强该策略的真实感。

除欺骗外，攻击者还可以预先填写您的姓名或电子邮件地址，使其看起来像您以前访问过该网站。

登录信息会通过 AJAX POST 请求实时发送给攻击者。该页面最终会将你重定向到你原本想要访问的合法网站，让你毫无察觉，直到为时已晚。

现在可能已经很明显了，但该技术对攻击者来说却是一种福音，原因如下：

• 实时定制：攻击者可以立即为任何目标定制页面的外观，并随时从公共服务中获取徽标和其他品牌元素。
• 增强逃避能力：使用合法的视觉元素掩盖攻击有助于逃避许多人和一些垃圾邮件过滤器的检测。
• 可扩展且敏捷的部署：攻击基础设施通常很轻量，并且可以轻松部署在 Firebase、Oracle Cloud、GitHub 等云平台上。这使得这些活动易于扩展，防御者更难以快速识别和拆除。
• 降低进入门槛：LogoKit 等工具包在地下论坛上随处可见，甚至为技术不太熟练的个人提供发动攻击所需的工具。

防御不断演变的网络钓鱼手段需要持续的个人意识和强大的技术控制相结合。然而，一些行之有效的规则将对保障您的安全大有裨益。

如果收到电子邮件、短信或电话，要求您点击链接、下载文件或提供信息，请暂停并自行核实。切勿直接点击可疑邮件中的链接。请前往合法网站，或通过可信的已知电话号码或电子邮件地址联系该机构。

至关重要的是，所有在线账户，尤其是重要的账户，都要使用强大且独特的密码或口令。此外，尽可能使用双因素身份验证(2FA)，也是一道不可或缺的防线。2FA 增加了至关重要的第二层安全保障，即使攻击者设法窃取您的密码或从数据泄露中获取密码，也无法访问您的账户。理想情况下，寻找并使用基于应用程序或硬件令牌的 2FA 方案，这些方案通常比短信验证码更安全。

此外，在所有设备上使用具有高级反网络钓鱼保护功能的强大、多层安全解决方案。

虽然网络犯罪分子的目标通常都是相同的——窃取人们的敏感信息，但他们使用的策略却并非一成不变。上文提到的这种变幻莫测的手段，充分体现了网络犯罪分子甚至将合法技术用于邪恶目的的能力。

人工智能辅助诈骗和其他威胁的兴起，使情况更加复杂。犯罪分子掌握了人工智能工具，钓鱼邮件可能不再只是模板化的胡言乱语，而是高度个性化。保持警惕，并结合强大的技术防御，将极大地有助于抵御不断演变的网络钓鱼攻击。