网络钓鱼的定义是否还包括诱骗受害者执行不用于检索受害者信息的恶意软件,例如勒索软件?
在我看来,维基百科对网络钓鱼的定义不包括勒索软件:
网络钓鱼是通过在数字通信中冒充自己为可信赖实体来获取敏感信息或数据(例如用户名、密码和信用卡详细信息或其他敏感详细信息)的欺诈性尝试。
相反,SonicWall 的本指南确实在网络钓鱼的定义中包含了勒索软件:
勒索软件最常见的分发方法之一是网络钓鱼电子邮件。这些类型的电子邮件试图诱使收件人打开电子邮件并单击网站链接。该网站可能会要求提供敏感信息或包含下载到受害者系统上的恶意软件,例如勒索软件。
Proofpoint也将勒索软件感染作为网络钓鱼的一部分:
“网络钓鱼”对不同的人可能有不同的含义,但我们使用该术语是一般意义上的。在本报告的上下文中,网络钓鱼包括所有社会工程电子邮件,无论其具体恶意意图如何(例如将用户引导至危险网站、分发恶意软件、收集凭据等)
我知道这个讨论,但是否有网络钓鱼概念的具体和一般定义?还是说只有一个定义(使特定或一般定义不正确)?
您在这里寻找的术语是社会工程。这是一个概括性的术语,描述了任何试图让一个人执行特定动作的尝试——尤其是那些让社会工程师受益而不是受害者的行为。
网络钓鱼是一种特定类型的社会工程,通常用于表示诱骗用户泄露敏感信息,但该术语并没有那么严格,以至于普通安全专业人员会皱眉头使用“网络钓鱼”来指代诱骗用户进入安装勒索软件。
“网络钓鱼”试图捕获某些东西,因此得名。大多数情况下,有问题的“东西”是凭证,但它可以是任意数量的东西(金钱、源代码或其他机密、通过某种绕过对凭证的正常需求的方式直接访问计算机系统等)。当然,勒索软件通常是一种勒索金钱的尝试,但获取金钱是勒索软件安装的下游(与获取某人的支付卡或银行信息相比)。
网络钓鱼是最常讨论的在线社交工程形式,因此,如果通过计算机,特别是通过电子邮件或类似方式发起,则使用社交工程的大多数事情都被称为网络钓鱼。(这类似于几乎所有恶意软件都被称为“病毒”的方式,尽管感染主机系统上的文件以传播自身副本的恶意软件现在实际上非常罕见,因为软件病毒是众所周知的恶意软件示例几年了。)
根据严格的定义,我会说让受害者安装勒索软件不算作网络钓鱼(远程访问后门将是一个更合理的案例)。但是,如果我要问某人“您的网络是如何感染此勒索软件的?” 他们回答“管理员被钓鱼”......我还有更多问题,但我会理解他们说“管理员因欺诈性通信(可能是电子邮件)而堕落,并采取措施安装恶意软件”。目前尚不清楚攻击者是直接获得了网络访问权限还是只是诱骗受害者安装恶意软件,或者勒索软件之外可能存在什么(如果有)危害或数据暴露(当然,勒索软件也可能包含后门或其他讨厌的东西),但它不会
你是否想在你的情况下使用这个词可能取决于听众。当然,语言会随着时间而变化,而不是在人群中统一。对于某些人来说,严格的定义是您应该始终使用的,因此您可能会说“通过发送给管理员的欺骗性电子邮件进行有针对性的社会工程攻击,导致安装实际上是木马勒索软件安装程序的更新包”。或者您可能只是说“对链接到安装程序的管理员进行鱼叉式网络钓鱼攻击”。或者是其他东西。
语言在进化。
从历史上看,不,带有恶意附件或代码的电子邮件不被视为“网络钓鱼”。网络钓鱼是关于从受害者那里收集信息。
但是,与所有技术一样,界限模糊,攻击技术混合,清晰沟通的愿望胜出。现在,所有“不良”电子邮件都被描述为“网络钓鱼”。我不认为这种演变是经过深思熟虑或深思熟虑的,但这就是现在这个词的使用方式。
作为一般规则,如果您正在寻找“经验”定义,我会远离商业实体,因为他们的定义往往倾向于他们销售的产品(Sonicwall、Proofpoint 等)。维基百科参考很好,定义引文看起来链接回学术论文,但维基百科始终是一个“摘要”页面,而不是深入研究的地方。
我目前对这类事物的默认参考集是 MITRE ATT&CK 框架,因为它似乎与我发现的一样被广泛引用和完整。
关于网络钓鱼,它们的定义是:
攻击者可能会向受害者发送包含恶意附件或链接的电子邮件,通常是为了在受害者系统上执行恶意代码或收集使用有效帐户的凭据。网络钓鱼也可能通过第三方服务进行,例如社交媒体平台。
https://attack.mitre.org/techniques/T1566/
从本质上讲,收集信誉是一条线,执行恶意软件是另一条线。