- Human vectors 透過人進行攻擊
- 透過人進行攻擊,說服人執行惡意程式
Email 信件偽裝認識的人或廠商欺騙使用者執行程式、點擊連結
- Impersonation and pretexting 冒充或藉口
- 冒充他人取得好處
- 欺騙取得身分驗證碼
- Phishing and pharming 網路釣魚與網域欺騙
- Phishing 網路釣魚 - 誘騙目標使用惡意資源、欺騙合法通訊和網站
- Vishing 語音釣魚 - 使用語音進行詐騙,如語音提供個人資訊盜取錢財。
- SMiShing 簡訊釣魚 - 透過簡訊傳送連結。
- Pharming 網域欺騙 - DNS欺騙重新導向。
- Typosquatting 誤植
攻擊者可能註冊「gooogle.com」而不是「google.com」,當用戶不小心輸入錯誤的網址時,就會被引導到這些惡意網站。這些網站通常模仿合法網站的外觀和設計,以騙取用戶的個人信息或進行其他惡意活動。
- 攻擊者通過使用看似合法的內容和設計,使釣魚訊息看起來更真實,以誘騙目標。
- 攻擊者偽造電子郵件地址,使其看起來像是來自可信來源。
- 攻擊者利用電子郵件發件人欄位中的混淆技術,使目標難以辨別電子郵件的真實來源
- Typosquatting(域名劫持):攻擊者註冊與合法域名非常相似的域名,利用拼寫錯誤來誘騙目標訪問惡意網站。
- Business email compromise 商業電子郵件洩漏
- 冒充同事、夥伴、廠商
- 冒充品牌
Watering hole attack 水坑攻擊
攻擊者不直接攻擊目標,而是埋伏在目標可能會訪問的網站或網頁上。這種攻擊方式的名稱來自於動物在水坑喝水時容易被捕獵的情景。
具體來說,攻擊者會先分析目標群體經常訪問的網站,然後在這些網站上植入惡意代碼。一旦目標訪問這些被感染的網站,惡意代碼就會自動下載並執行,從而感染目標的設備1。
