近日,F5發布了《2018年網絡釣魚和欺詐報告:節假日期為攻擊峰值》,并指出,2018年10月,11月和12月的欺詐事件相比往年攀升了超過50%;網絡釣魚仍然是首選渠道,釣魚者通過盜取登錄認證和信用卡號碼等私密信息而實現犯罪。
該項研究采納了多樣化數據來源,針對從10月開始的節假日網絡釣魚和欺詐高峰現象,專門進行調研分析。其中包括:本年網絡釣魚欺詐趨勢,遭冒充身份的頂級公司以及企業和消費者如何防范網絡釣魚以及其他欺詐行為。
在即將來臨的節假日,不只是購物、聚餐的高峰季,更是網絡釣魚詐騙的高峰季。與此同時,釣魚者的詐騙策略也在更新換代。曾經的騙局是一封要求上傳銀行憑據來獲取遺產的電子郵件;現今的網絡釣魚者則變得更加狡猾精明,演繹出盜用身份來欺騙大眾情感的手段,企圖以此更輕易地騙取錢財。
在報告中,對于網絡釣魚的手段、目標,以及應對方式,進行了總結。
- 慣用誘餌作為安全意識培訓的重點——當下成功率最高的誘餌是利用人們的貪婪,關注,緊迫和恐懼等情緒,促使他們打開電子郵件并點擊固定內容。
- 盜用身份是主要手法——從2018年9月1日到10月31日,71%的虛假釣魚案例均是偽裝成10家頂級科技行業公司,從而獲得受害者的信任并實現欺詐。
- 金融機構是節日釣魚季詐騙中的重點攻擊對象——但同時,F5預計未來針對電子商務和物流行業的詐騙比重將會持續上升。
- 加強安全意識培訓,對于保護企業和個人免受網絡釣魚而言至關重要——通過培訓員工辨別網絡釣魚騙局,企業能有效地將惡意電子郵件,鏈接和附件的點擊率從33%降低到13%。
- 控制出現在員工郵箱的釣魚電子郵件,是防御途徑之一——當然,即便設置Web過濾,防病毒軟件和設置多重身份驗證控制后,員工仍有機會成為網絡釣魚攻擊受害者。
網絡釣魚的技術和手段,從原理上說并不新鮮:通過一個心理誘餌,步步引導受害者,誤以為該虛假網絡程序和應用是真實可信的。網絡釣魚者通常會按照如下三個步驟,來設置網絡釣魚騙局:
1. 目標選擇:即尋找合適的受害者,特別要透過電子郵件地址和背景信息,總結出一個具有吸引力的心理痛點。
2. 社交機制:布置恰當的詐騙誘餌,誘使受害者掉入陷阱,以竊取他們的賬戶并植入惡意軟件。在魚叉式網絡的釣魚案例中,這種誘餌是針對目標受害者而定制的。每當年終歲尾,網絡釣魚者會利用年終和節假日的各類活動包裝出偽裝外衣。
3. 技術工程:釣魚者躲避開安全程序的掃描,以構建虛假網站,制作惡意軟件等技術性方法開展詐騙。
F5對于消費者及企業的建議
消費者有必要認識到,URL欺騙正是網絡釣魚的常用方法,任何電子郵件地址都帶有偽造性或欺騙性的可能性。
消費者注意事項:
1. 減少URLS應用:盡量減少在如bit.ly這類服務網址上的瀏覽時間,因為他們都可以是惡性的。用戶應該打開新的瀏覽器選項卡,并搜索涉及到的有關內容或網站。
2. 重視安全證書警告:警告會顯示在用戶瀏覽器,以提示當前登錄網站的安全證書無效,或尚未由受信任的機構頒發證書。如果用戶認為該網站合法,不該忽略警告,應另在單獨的瀏覽器窗口中搜索該網站。
3. 認真檢查網址:偽造的網絡釣魚網站往往精心制作,偽裝出充分的合法性。因此,在提供登錄認證或帳戶等任何個人信息之前,用戶應養成認真檢查地址欄中網址的習慣。
企業注意事項:
隨著網絡釣魚變得愈加復雜和精明,安全意識培訓對于保護企業和員工免受依托技術的網絡釣魚詐騙變得至關重要。其中,包括電子郵件標簽,防病毒(AV)軟件,Web過濾和多因素身份驗證等諸多方面的措施。
目前,尚沒有針對網絡釣魚的一站式安全把控體系。現有降低公司業務風險的方法,就是構建出一個涵蓋員工,流程,技術的綜合可控安全架構。
如想了解更多信息,請閱讀完整報告進一步發現當前的核心威脅,詳細了解網絡釣魚的細節,并大量吸收建議,來保護企業免遭網絡釣魚的侵害。
京公網安備 11010502049343號