当前位置：首页 > news >正文

常见网络钓鱼类型

news 2025/10/31 5:48:54

网络钓鱼是一种网络攻击，是指具有恶意动机的攻击者伪装欺骗人们并收集用户名或密码等敏感信息的一系列行为。由于网络钓鱼涉及心理操纵并依赖于人为失误(而不是硬件或软件漏洞)，因此被认定为是一种社会工程攻击。

1. 普通网络钓鱼（群攻）

普通网络钓鱼是广撒网的方式，通过伪装成目标关注的各种信息，通过邮件、短信等方式向用户发送链接，欺骗用户输入敏感信息、下载病毒、木马等恶意软件，获取目标的相关信息实施攻击或欺诈。

2. 鱼叉式攻击（特攻）

鱼叉式攻击是一种较为高级的网络钓鱼攻击手法，针对特定的目标或组织，借助构造特定主题和内容的邮件、短信等第三方媒介，吸引特定目标群体打开链接或下载附件等方式的钓鱼攻击行为。鱼叉攻击实施前，攻击者需要在前期对特定目标的工作情况、生活情况及其它活动规律等进行摸底侦察，再运用社会工程学方法构造定制化的钓鱼邮件、短信等。这些钓鱼邮件、短信的主题、内容及文档标题均能与目标当前所关心的热点事件、工作事项或个人事务等相匹配，以降低目标的防范心理，诱骗其下载附件中的带有病毒代码或者漏洞利用的伪装性攻击文档，实现精准、高效的载荷投递。

3. 鲸钓式攻击（斩首）

攻击者不针对组织内的低级别人员，而是针对高层，如首席执行官，首席财务官和首席运营官。钓鲸的目标是经过精心挑选的，因为受害者价值很高，而被盗的信息将比普通员工提供的信息更有价值。钓鲸需要依赖于社交工程，攻击者需要更好地了解目标。通常攻击者会先从互联网和各种社交媒体平台获取目标的相关信息，然后再用此信息设计有针对性的钓鱼。

鲸钓攻击和鱼叉攻击的区别在于，鲸钓只针对组织内的高级别人员，而鱼叉攻击的目标是重要的组织，它会向该组织内的所有员工发钓鱼邮件，而不单单针对高层。

4. 水坑式攻击（埋雷）

在受害者必经之路设置了一个“水坑(陷阱)”，攻击者分析攻击目标的上网活动规律，寻找攻击目标经常访问网站的脆弱性，先将此网站“攻破”并植入攻击代码，一旦攻击目标访问该网站就会“中招”。水坑攻击手法针对的目标多为特定的团体（组织、行业、地区等），由于此种攻击借助了目标团体所信任的网站，攻击成功率很高，即便是那些对鱼叉攻击、鲸钓攻击或其他形式的钓鱼攻击具有防护能力的团体也会中招。

5. 灯笼式钓鱼

灯笼式钓鱼是一种新型的、基于社交媒体的钓鱼欺诈方法，常见于Twitter, Facebook和Instagram等热门社交媒体平台。欺诈者通过创建仿冒的品牌账号/门户，先吸引用户关注（灯笼式吸引），骗取信任后，再将用户诱导至实际的钓鱼链接，完成欺诈，这种手法常见于银行、电商、零售等行业。需要说明的是，除了仿冒企业，仿冒企业的管理人员或社会名人、明星等，也同样非常有效。

6. WIFI网络钓鱼

攻击者伪装公众场所常用的WIFI热点，诱导受害者连接使用公共WIFI，接管受害者网络窃听网络流量数据，捕获受害者手机号、用户账号等相关信息后实施攻击或欺诈。

7. 2G/3G/4G/5G网络钓鱼

攻击者利用伪基站接管受害者手机信号，截获受害者手机上网流量数据，获取受害者手机号、账号、密码等相关信息后实施攻击或欺诈。

8. 域名欺骗

域名欺骗是一种最常见的网络钓鱼形式，攻击者使用与企业非常相近的域名来仿冒企业本身或企业员工进行欺诈。通常攻击者会注册一个与企业域名非常相似的域名，然后利用此域名发送电子邮件，或者搭建一个欺诈网站，欺诈网站会使用企业商标或视觉设计风格来进行仿冒，而邮件会尽可能采用企业业务相关的行业术语以增强其可信性。

9. 雪鞋攻击

雪鞋攻击即“打了就跑”的垃圾邮件要求攻击者通过多个域和IP地址发送邮件。每个IP地址发送少量邮件，因此基于信誉或数量的垃圾邮件过滤技术无法立即识别和阻止恶意邮件。过滤系统还未来得及阻止，一些邮件就进入到了电子邮件收件箱。

10. DNS欺骗

通过入侵DNS服务器的方式，将受害者导引到伪造的网站上，因此又被称为DNS服务器投毒（DNS Poisoning），不需要依赖于一个欺诈网站来引诱目标。攻击者通过攻击DNS服务器，将流量重定向到钓鱼网站。一旦受害者访问这个假冒网站，攻击者只需要坐下来等待，而毫无防备的用户照常登录，不知不觉就泄漏了个人敏感信息。

11. 中间人网络钓鱼

中间人（man-in-the-middle，MITM）网络钓鱼攻击是指攻击者拦截并改变通信链路，攻击者控制网络流量，并代理发送和接收所有消息。当攻击者拦截数据时，监听或插入特定信息可以获得个人敏感信息。

12. 其它攻击方式

根据所利用的载体不同，还有短信钓鱼、邮件钓鱼、语音钓鱼、网站钓鱼、图片钓鱼、文件钓鱼、搜索引擎钓鱼、二维码钓鱼、克隆钓鱼等各种钓鱼方式。

附：如何防范网络钓鱼，可以做到以下几点：

● 不点击来源不明的网站链接

● 不点击来源不明的文件（包括图片）

● 不浏览来历不明的网页

● 不信任来历不明的https证书

● 少看苍老师的电影

常见网络钓鱼类型

相关文章：

常见网络钓鱼类型

数字图像处理考研考点（持续更新）

Spring Cloud Alibaba：一站式微服务解决方案

ubuntu16.04部署dify教程

JavaWeb文件上传

软件工程——期末复习（3）

apache的BeanUtils的Converter被相互污染覆盖问题

TCP的“可靠性”（上）

超标量处理器设计笔记（5）虚拟存储器、地址转换、page fault

SparkSQL 读写数据攻略：从基础到实战

react 使用状态管理调用列表接口渲染列表（包含条件查询，统一使用查询按钮，重置功能），避免重复多次调用接口的方法

Stable Audio Open模型部署教程：用AI打造独家节拍，让声音焕发新活力！

加油站-（贪心算法）

k8s-持久化存储PV与PVC（1）

Linux Red Hat Enterprise

《中型 Vue 项目：挑战与成长》

配置 DNS over HTTPS阻止DNS污染

Facebook广告文案流量秘诀

22. 五子棋小游戏

fastadmin框架同时使用阿里云oss和阿里云点播

在软件开发中正确使用MySQL日期时间类型的深度解析

AI编程--插件对比分析：CodeRider、GitHub Copilot及其他

AI，如何重构理解、匹配与决策？

【Go语言基础【13】】函数、闭包、方法

在鸿蒙HarmonyOS 5中使用DevEco Studio实现企业微信功能

零知开源——STM32F103RBT6驱动 ICM20948 九轴传感器及 vofa + 上位机可视化教程

Cilium动手实验室: 精通之旅---13.Cilium LoadBalancer IPAM and L2 Service Announcement

《Offer来了：Java面试核心知识点精讲》大纲

跨平台商品数据接口的标准化与规范化发展路径：淘宝京东拼多多的最新实践

goreplay