你对网络钓鱼了解多少?来参加我们的测试吧 - 《华尔街日报》

By Daniel Akst

当有人向你发送伪装成合法来源(如银行或政府机构)信函的虚假通信时,就会发生网络钓鱼。插图:乔恩·克劳斯如果你近年来在互联网上花费过时间,那么很可能在某个时刻你已成为“网络钓鱼”的目标,这种骗局相对容易实施但难以防范。

当有人向你发送虚假通信(通常通过电子邮件或短信),伪装成银行或政府机构等合法来源的信函时,就会发生网络钓鱼。通常,发送者试图获取信息、信用卡号码或资金转账。有时,附件中包含恶意软件,或者有一个链接可以让你登录——也就是说,让你的密码被盗。

网络钓鱼现象不断增长,需要持续保持警惕;每天发送数十亿封钓鱼邮件,有些是针对性极强的,有些则是广泛传播的。毫无疑问,你已经在收件箱中看到过骗子的诱饵。但你对这个主题真正了解多少?参加这个测验,找出答案。

1. 在一项调查中,2022年有多少比例的组织表示他们至少遭遇过一次成功的网络钓鱼攻击?

A) 44%

B) 64%

C) 84%

D) 99%

答案:C。 这项调查是网络安全公司Proofpoint的《2023年网络钓鱼现状报告》。Proofpoint的一位女发言人表示,该调查基于以下定义:“成功的网络钓鱼攻击是一种基于电子邮件的攻击,诱使收件人采取危险行动(例如点击恶意链接、下载恶意软件、提供凭证、执行电汇等)。”

2. 美国联邦调查局互联网犯罪投诉中心(简称IC3)去年记录了300,497名网络钓鱼受害者。2018年的记录数量是多少?

A) 2,637

B) 26,379

C) 263,790

D) 2,637,900

答案:B。 对FBI而言,“受害者”指提交投诉的人,因此该数据未反映未上报的网络钓鱼攻击。但这确实显示了短期内的大幅增长。IC3成立于2000年。该机构统计2022年已知网络钓鱼损失为52,089,159美元,尽管部分网络安全公司声称实际数字更高。

3. “网络钓鱼”一词如何得名?

A) 国际黑客拼错了“fishing”(钓鱼)。

B) 乐队Phish的成员是最早记录的受害者。

C) 它结合了“phreaking”(指利用电子设备逃避电话费用的术语)和“fishing”(钓鱼)。

D) 数字诈骗者因担心监控而避免常规拼写。

答案:C。 正如Heather Vescent和Nick Selby在《网络攻击生存手册》中解释的,“phishing”是钓鱼的变体合成词,意为“使用电子诱饵、钩住受害者并收线”。作者写道,ph“是对互联网出现前电话系统黑客行为‘phreaking’的致敬,由‘phreaks’实施”。其他资料表明“phreaking”本身可能是“phone”(电话)和“freaking”(怪异行为)的组合。

4. 我们已经定义了网络钓鱼,那么什么是语音钓鱼(vishing)?

A) 通过虚拟专用网络渗透计算机

B) 利用虚拟机侵入整个网络

C) 在IP语音数据中隐藏恶意软件指令

D) 通过电话或语音邮件试图窃取私人信息

答案:D。 “vishing”中的“v”代表“语音”或“语音邮件”。

5. 反网络钓鱼工作组发起了一项国际意识提升活动。该活动的全球口号是什么?

B) 停一停。想一想。再连接。

C) 连一口都不咬!

A) 这能通过嗅觉测试吗?

D) 发现诱饵?别上钩。

答案:B。 APWG 是一个由执法部门、科技公司、金融机构、学术界等组成的非营利联盟,共同打击网络钓鱼。

 6. “鲸钓”是另一种网络钓鱼。这是什么意思?

A) 针对包含“Ahab”名字的电子邮件地址的网络钓鱼

B) 活动人士针对捕鲸公司进行的网络钓鱼

C) 针对可能接触大量高质量机密信息的高层管理人员的网络钓鱼

D) 诱使用户执行“Jonah漏洞利用”,这是一个能渗透用户系统各个角落的大型代码体

答案:C。在鱼叉式网络钓鱼中,受害者通过使用关于他们的背景信息(有时从社交媒体收集)来使虚假电子邮件看起来合法。而在鲸钓中,目标变成了高层管理人员和官员。芝加哥附近的多米尼加大学IT专家Hassan Zamir指出,在这种情况下,犯罪者追求的是潜在的高额回报。在《信息专业人员的网络安全:概念与应用》一书的一章中,Zamir指出,鱼叉式网络钓鱼和鲸钓在社交媒体和电子邮件中都构成威胁。

7. 根据网络安全公司Expel的数据,诈骗者在钓鱼邮件主题行中最常使用的内容是什么?

A) “发票附件”

B) “逾期通知”

C) “回复:请求”

D) 他们大多留空主题行

答案:D。 Expel的季度威胁报告发现,超过半数的案例中主题行为空。“发票”和“订单确认”也很常见,但使用频率低得多。Expel反钓鱼服务经理Hiranya Mir表示,空白主题行是“一个立即的危险信号”。Mir给出了不法分子留空主题行的三个原因:首先,避免触发电子邮件安全软件的敏感词;其次,空白主题有时仅用于“确认目标地址是有效收件箱”;攻击者可能将创意精力用于后续恶意内容。第三,Mir说空白主题“可能引发某些人的好奇心,促使他们打开邮件并与内容互动或回复”。

8. 以下哪项措施无助于防止钓鱼黑客利用非法获取的登录凭证?

A) 为所有在线账户使用同一个强密码。

B) 启用双重认证(如发送验证码到手机)。

C) 避免点击未知或可疑的文件附件。

D) 有疑问时,用已知或公开列出的号码联系发件人,切勿拨打邮件中提供的号码(可能是欺诈号码)。

答案:A. 为每个网站使用不同的强密码。苹果钥匙串等密码管理器可以为您生成并记住这些密码。

9. 弱密码会为入侵者提供轻松获取联系人、私人信息等的途径,从而助长网络钓鱼。在美国,最常用的密码是什么?

A)     guest

B)    123456

C)     password

D)    12345

答案:A. NordPass的数字安全产品包括密码管理工具,该公司统计了全球最常用的密码。在美国,最常用的密码按使用频率排序如上。该全球榜单差异不大,前四位依次是password、123456、123456789和guest。专业建议:不要使用这些密码。

10. 如果您遭遇网络钓鱼诈骗,最不应该做的是什么?

A) 在问题未解决前断开电脑连接。

B) 立即通知相关方,尤其是IT部门。

C) 修改所有可能泄露的密码。

D) 隐瞒事件并希望无人发现。

答案:D. 联邦贸易委员会建议您将钓鱼邮件转发给反网络钓鱼工作组,并向FTC举报,但由于钓鱼邮件数量庞大,这些建议可能难以执行。FTC更可行的建议是“让被冒充的公司或个人知晓该钓鱼骗局”

更正与补充说明术语“语音钓鱼”(vishing)可指欺诈电话及语音邮件。本文先前版本仅提及后者。(已于6月15日更正)

丹尼尔·阿克斯特是纽约哈德逊河谷地区的作家,联系方式:[email protected]

刊登于2023年6月7日印刷版,标题为《你对网络钓鱼知多少?来测一测》。