通过服务的鱼叉式网络钓鱼

对手可能通过第三方服务发送鱼叉式网络钓鱼消息，试图访问受害者系统。通过服务的鱼叉式网络钓鱼是一种特定的鱼叉式网络钓鱼变体。它与其他形式的鱼叉式网络钓鱼不同，因为它使用第三方服务而不是直接通过企业电子邮件渠道。 所有形式的鱼叉式网络钓鱼都是针对特定个人、公司或行业的电子社交工程。在这种情况下，对手通过各种社交媒体服务、个人网络邮件和其他非企业控制的服务发送消息。(引用: Lookout Dark Caracal Jan 2018) 这些服务的安全策略可能比企业更宽松。与大多数鱼叉式网络钓鱼一样，目标是与目标建立关系或以某种方式引起目标的兴趣。对手会创建虚假的社交媒体账户并向员工发送潜在工作机会的消息。这样做可以合理地询问有关服务、策略和环境中运行的软件的信息。然后，对手可以通过这些服务发送恶意链接或附件。 一个常见的例子是通过社交媒体与目标建立关系，然后将内容发送到目标在其工作计算机上使用的个人网络邮件服务。这允许对手绕过工作账户上的一些电子邮件限制，并且目标更有可能打开文件，因为这是他们期望的内容。如果有效负载未按预期工作，对手可以继续正常通信并与目标一起排除故障以使其正常工作。