通过服务的鱼叉式网络钓鱼

对手可能通过第三方服务发送鱼叉式网络钓鱼消息，以获取在目标定位期间使用的敏感信息。鱼叉式网络钓鱼是试图欺骗目标泄露信息，通常是凭据或其他可操作的信息。鱼叉式网络钓鱼通常涉及社交工程技术，例如冒充有理由收集信息的来源（例如建立账户或破坏账户）和/或发送多个看似紧急的消息。 所有形式的鱼叉式网络钓鱼都是针对特定个人、公司或行业的电子社交工程。在这种情况下，对手通过各种社交媒体服务、个人网络邮件和其他非企业控制的服务发送消息。(引用: ThreatPost Social Media Phishing) 这些服务的安全策略可能比企业更宽松。与大多数鱼叉式网络钓鱼一样，目标是与目标建立关系或以某种方式引起目标的兴趣。对手可能会创建虚假的社交媒体账户并向员工发送潜在工作机会的消息。这样做可以合理地询问有关服务、策略和环境中运行的软件的信息。对手还可能使用先前侦察工作的信息（例如社交媒体或搜索受害者拥有的网站）来制作有说服力和可信的诱饵。