近日��,F(xiàn)5發(fā)布了《2018年網(wǎng)絡(luò)釣魚和欺詐報告:節(jié)假日期為攻擊峰值》��,并指出���,2018年10月,11月和12月的欺詐事件相比往年攀升了超過50%;網(wǎng)絡(luò)釣魚仍然是首選渠道���,釣魚者通過盜取登錄認(rèn)證和信用卡號碼等私密信息而實現(xiàn)犯罪����。
該項研究采納了多樣化數(shù)據(jù)來源,針對從10月開始的節(jié)假日網(wǎng)絡(luò)釣魚和欺詐高峰現(xiàn)象���,專門進(jìn)行調(diào)研分析。其中包括:本年網(wǎng)絡(luò)釣魚欺詐趨勢�,遭冒充身份的頂級公司以及企業(yè)和消費者如何防范網(wǎng)絡(luò)釣魚以及其他欺詐行為。
在即將來臨的節(jié)假日�,不只是購物、聚餐的高峰季�����,更是網(wǎng)絡(luò)釣魚詐騙的高峰季����。與此同時,釣魚者的詐騙策略也在更新?lián)Q代�。曾經(jīng)的騙局是一封要求上傳銀行憑據(jù)來獲取遺產(chǎn)的電子郵件;現(xiàn)今的網(wǎng)絡(luò)釣魚者則變得更加狡猾精明,演繹出盜用身份來欺騙大眾情感的手段�,企圖以此更輕易地騙取錢財。
在報告中�,對于網(wǎng)絡(luò)釣魚的手段、目標(biāo)����,以及應(yīng)對方式���,進(jìn)行了總結(jié)。
· 慣用誘餌作為安全意識培訓(xùn)的重點——當(dāng)下成功率最高的誘餌是利用人們的貪婪�,關(guān)注,緊迫和恐懼等情緒����,促使他們打開電子郵件并點擊固定內(nèi)容。
· 盜用身份是主要手法——從2018年9月1日到10月31日���,71%的虛假釣魚案例均是偽裝成10家頂級科技行業(yè)公司�����,從而獲得受害者的信任并實現(xiàn)欺詐�����。
· 金融機(jī)構(gòu)是節(jié)日釣魚季詐騙中的重點攻擊對象——但同時�,F(xiàn)5預(yù)計未來針對電子商務(wù)和物流行業(yè)的詐騙比重將會持續(xù)上升���。
· 加強(qiáng)安全意識培訓(xùn)���,對于保護(hù)企業(yè)和個人免受網(wǎng)絡(luò)釣魚而言至關(guān)重要——通過培訓(xùn)員工辨別網(wǎng)絡(luò)釣魚騙局��,企業(yè)能有效地將惡意電子郵件����,鏈接和附件的點擊率從33%降低到13%���。
· 控制出現(xiàn)在員工郵箱的釣魚電子郵件��,是防御途徑之一——當(dāng)然,即便設(shè)置Web過濾����,防病毒軟件和設(shè)置多重身份驗證控制后,員工仍有機(jī)會成為網(wǎng)絡(luò)釣魚攻擊受害者�。
網(wǎng)絡(luò)釣魚的技術(shù)和手段,從原理上說并不新鮮:通過一個心理誘餌��,步步引導(dǎo)受害者����,誤以為該虛假網(wǎng)絡(luò)程序和應(yīng)用是真實可信的。網(wǎng)絡(luò)釣魚者通常會按照如下三個步驟����,來設(shè)置網(wǎng)絡(luò)釣魚騙局:
1. 目標(biāo)選擇:即尋找合適的受害者����,特別要透過電子郵件地址和背景信息�����,總結(jié)出一個具有吸引力的心理痛點���。
2. 社交機(jī)制:布置恰當(dāng)?shù)脑p騙誘餌�,誘使受害者掉入陷阱����,以竊取他們的賬戶并植入惡意軟件。在魚叉式網(wǎng)絡(luò)的釣魚案例中����,這種誘餌是針對目標(biāo)受害者而定制的。每當(dāng)年終歲尾����,網(wǎng)絡(luò)釣魚者會利用年終和節(jié)假日的各類活動包裝出偽裝外衣。
3. 技術(shù)工程:釣魚者躲避開安全程序的掃描��,以構(gòu)建虛假網(wǎng)站,制作惡意軟件等技術(shù)性方法開展詐騙���。
F5對于消費者及企業(yè)的建議
消費者有必要認(rèn)識到��,URL欺騙正是網(wǎng)絡(luò)釣魚的常用方法�����,任何電子郵件地址都帶有偽造性或欺騙性的可能性����。
消費者注意事項:
1. 減少URLS應(yīng)用:盡量減少在如bit.ly這類服務(wù)網(wǎng)址上的瀏覽時間��,因為他們都可以是惡性的����。用戶應(yīng)該打開新的瀏覽器選項卡�����,并搜索涉及到的有關(guān)內(nèi)容或網(wǎng)站�。
2. 重視安全證書警告:警告會顯示在用戶瀏覽器,以提示當(dāng)前登錄網(wǎng)站的安全證書無效�,或尚未由受信任的機(jī)構(gòu)頒發(fā)證書�。如果用戶認(rèn)為該網(wǎng)站合法���,不該忽略警告�����,應(yīng)另在單獨的瀏覽器窗口中搜索該網(wǎng)站����。
3. 認(rèn)真檢查網(wǎng)址:偽造的網(wǎng)絡(luò)釣魚網(wǎng)站往往精心制作��,偽裝出充分的合法性���。因此��,在提供登錄認(rèn)證或帳戶等任何個人信息之前���,用戶應(yīng)養(yǎng)成認(rèn)真檢查地址欄中網(wǎng)址的習(xí)慣。
企業(yè)注意事項:
隨著網(wǎng)絡(luò)釣魚變得愈加復(fù)雜和精明��,安全意識培訓(xùn)對于保護(hù)企業(yè)和員工免受依托技術(shù)的網(wǎng)絡(luò)釣魚詐騙變得至關(guān)重要����。其中�,包括電子郵件標(biāo)簽�����,防病毒(AV)軟件��,Web過濾和多因素身份驗證等諸多方面的措施�。
目前,尚沒有針對網(wǎng)絡(luò)釣魚的一站式安全把控體系����,F(xiàn)有降低公司業(yè)務(wù)風(fēng)險的方法,就是構(gòu)建出一個涵蓋員工��,流程�,技術(shù)的綜合可控安全架構(gòu)。
如想了解更多信息��,請閱讀完整報告進(jìn)一步發(fā)現(xiàn)當(dāng)前的核心威脅����,詳細(xì)了解網(wǎng)絡(luò)釣魚的細(xì)節(jié)���,并大量吸收建議���,來保護(hù)企業(yè)免遭網(wǎng)絡(luò)釣魚的侵害�����。
京公網(wǎng)安備 11010502041587號