警惕：这八种被低估的网络钓鱼技术

用心做分享，只为给您最好的学习教程
如果您觉得文章不错，欢迎持续学习

有许多鲜为人知的网络钓鱼技术常被忽视或低估，但攻击者却越来越多地加以运用。

电子邮件网络钓鱼是目前最为常见的一种网络钓鱼形式。然而，还有不少鲜为人知的网络钓鱼手段，它们虽常被人忽略或轻视，可攻击者却日益频繁地使用。下面我们来简要看看其中一些主要的类型：

搜索引擎优化投毒

每个月都会有成千上万的新网络钓鱼网站出现，其中许多都针对搜索引擎优化（SEO）进行了设置，以便在搜索结果中能被潜在受害者轻易发现。比如，若有人搜索 “下载 Photoshop” 或 “PayPal 账户”，很可能就会碰到一个伪装得很像的假网站，诱使用户分享数据或访问恶意内容。这种技术还有一种鲜为人知的变体，那就是劫持谷歌企业列表。诈骗者会窃取谷歌上合法企业的联系方式，让毫无防备的受害者误以为自己是在与授权代表交流而进行联系。

付费广告诈骗

付费广告诈骗是黑客和诈骗者常用的流行技术。攻击者利用展示广告、点击付费广告和社交媒体广告来推广他们的广告并锁定用户，诱导受害者访问恶意网站、下载恶意应用程序或在不经意间分享凭据。一些不法分子甚至会在这些广告中嵌入恶意软件或木马（即恶意广告）来对用户进行网络钓鱼。

社交媒体网络钓鱼

威胁行为者在热门社交媒体平台上有多种针对受害者的途径。他们可以创建虚假账号，模仿可信联系人、名人或政客，期望引诱用户参与其恶意内容或消息互动。他们能在合法帖子下发表评论，怂恿人们点击恶意链接；还可以推出游戏、博彩应用、调查测验、占星算命应用、金融投资应用等，以此从用户那里收集私人敏感信息。他们能发送消息引导用户登录恶意网站，也可以制作深度伪造内容来传播虚假信息、制造混乱。

二维码网络钓鱼

所谓的 “二维码网络钓鱼”，即对二维码加以利用。诈骗者已经找到了利用这种非接触式技术的新奇办法。攻击者会在海报、菜单、传单、社交媒体帖子、假存款单、活动邀请函、停车计费器等地方贴上恶意二维码，诱使用户进行扫描或进行在线支付。研究人员发现，在过去一年里，二维码网络钓鱼攻击的数量增长了 587%。

移动应用网络钓鱼

移动应用网络钓鱼是一种通过移动应用程序来攻击受害者的类型。通常，诈骗者会在移动应用商店分发或上传恶意应用程序，等待受害者下载并使用。这些应用可能看起来很正规，也可能是窃取个人数据或财务信息的仿冒应用，甚至可能被用于非法监视。研究人员最近在谷歌应用商店发现了 90 多款恶意应用，其下载量超过了 550 万次。

回拨网络钓鱼

从名字就可以看出，回拨网络钓鱼是一种社会工程技术，攻击者诱导用户回拨到欺诈性的呼叫中心或服务台。虽然典型的回拨诈骗常涉及电子邮件，但也有许多变体，攻击者会用各种狡猾手段让人们回拨。比如，攻击者利用谷歌表单绕过网络钓鱼过滤器向受害者发送钓鱼信息。当受害者打开这些看似无害的表单时，就会看到一个要求拨打的电话号码。诈骗者还会给受害者发送短信或留下语音邮件，鼓励他们回拨。

基于云的网络钓鱼攻击

随着组织越来越依赖基于云的存储和服务，网络犯罪分子也开始利用云来实施网络钓鱼和社会工程攻击。有很多基于云的攻击实例，比如攻击者向微软 Teams 和 SharePoint 上的用户发送网络钓鱼消息，利用谷歌绘图诱使用户点击恶意链接；他们利用亚马逊和 IBM 等云存储服务托管包含垃圾邮件网址的网站，并通过短信进行分发，还滥用微软 Sway 来提供网络钓鱼二维码等等。

内容注入攻击

软件、设备、应用程序和网站通常都存在漏洞。攻击者利用这些漏洞将恶意内容注入代码或内容中，操纵用户分享敏感数据、访问恶意网站、发起回拨请求或下载恶意软件。例如，恶意行为者利用一个有漏洞的网站更新 “联系我们” 页面的超链接。访问者填写完表单后，就会看到一条消息和后续操作，其中包含指向有害下载的链接或显示一个由黑客控制的电话号码。同样，攻击者利用易受攻击的设备（如物联网设备）的消息和通知功能向用户发送网络钓鱼消息。
攻击者进行社会工程并针对用户的程度令人担忧。随着他们将人工智能工具纳入自己的手段库，这些攻击预计会变得更加激烈和复杂。只有通过持续提供安全培训并实施定期的意识提升计划，组织才能培养出抵御这些社会工程诈骗所需的抵抗力，确保员工保持警惕并能够保护敏感信息、金融资产和企业声誉。

本文仅作技术分享 切勿用于非法途径

关注【黑客联盟】带你走进神秘的黑客世界