我不是 Windows 用户,也不使用 Outlook,但显然 Windows 用户需要小心点击可疑链接。
典型的例子是 Windows 中使用 Outlook 的用户点击某个链接,然后就感染了间谍软件。
从技术角度来说,这怎么可能呢?点击电子邮件中的单个链接全部那一定会发生吗?Outlook 是否允许任意代码执行,从而允许链接安装二进制文件?为了便于讨论,假设是 Windows 10。
答案1
您所描述的根本不是网络钓鱼。
根据维基百科,
网络钓鱼是一种欺诈行为,通过在电子通信中伪装成可信实体来获取敏感信息,例如用户名、密码和信用卡详细信息。
换句话说,网络钓鱼并非试图感染用户的计算机,而是试图诱骗用户泄露敏感信息。成功的网络钓鱼活动需要的不仅仅是一次点击。
您所描述的情况通常称为零日漏洞。它是应用程序或操作系统中以前未知或未修补的漏洞,允许攻击者以可预测的方式导致应用程序或操作系统发生故障。在您的示例中,漏洞通过单击特制链接或将用户带到特制网站而发生。在这种情况下,它与 Outlook 或 Windows 无关,因为大多数操作系统和中等复杂的应用程序都有未发现的漏洞。其中一些可用于尚未发现的零日漏洞。有些漏洞目前正在积极用于对付毫无戒心的受害者,没有人知道其中的区别。这就是零日漏洞的本质,对黑客来说,这相当于中了头彩。
众所周知Stuxnet 恶意软件摧毁伊朗铀浓缩离心机的导弹使用了 4 个零日漏洞和其他技术来寻找目标。
答案2
在媒体方面,他们喜欢吓唬人们。最初的网络钓鱼是利用浏览器和操作系统中的漏洞,并混杂恶意和误导性的电子邮件。然而,如今,网络钓鱼已经呈现出一种全新的形式。
最近许多成功的攻击都是使用简单的网页设计技术,以误导和欺诈的方式进行的。我爸爸就遭受过一次攻击。他点击了一个 Facebook 链接,上面说他收到了某个辣妹发来的消息,输入密码后,他被重定向到实际的 Facebook 页面,同时他的密码被记录在黑客服务器上。
我从未听说过一键链接攻击,通常下载必须获得批准,或者在进入链接后尝试执行某项操作。他们称之为钓鱼,因为大多数人不会上钩,但有些人会。黑客通常会攻击大目标(称为捕鲸),例如亿万富翁、首席执行官和政客。
一般而言,网络钓鱼攻击只是利用了人们的无知。