該項(xiàng)研究采納了多樣化數(shù)據(jù)來源,針對(duì)從10月開始的節(jié)假日網(wǎng)絡(luò)釣魚和欺詐高峰現(xiàn)象,專門進(jìn)行調(diào)研分析。其中包括:本年網(wǎng)絡(luò)釣魚欺詐趨勢(shì),遭冒充身份的頂級(jí)公司以及企業(yè)和消費(fèi)者如何防范網(wǎng)絡(luò)釣魚以及其他欺詐行為。
在即將來臨的節(jié)假日,不只是購(gòu)物、聚餐的高峰季,更是網(wǎng)絡(luò)釣魚詐騙的高峰季。與此同時(shí),釣魚者的詐騙策略也在更新?lián)Q代。曾經(jīng)的騙局是一封要求上傳銀行憑據(jù)來獲取遺產(chǎn)的電子郵件;現(xiàn)今的網(wǎng)絡(luò)釣魚者則變得更加狡猾精明,演繹出盜用身份來欺騙大眾情感的手段,企圖以此更輕易地騙取錢財(cái)。
在報(bào)告中,對(duì)于網(wǎng)絡(luò)釣魚的手段、目標(biāo),以及應(yīng)對(duì)方式,進(jìn)行了總結(jié)。
• 慣用誘餌作為安全意識(shí)培訓(xùn)的重點(diǎn)——當(dāng)下成功率最高的誘餌是利用人們的貪婪,關(guān)注,緊迫和恐懼等情緒,促使他們打開電子郵件并點(diǎn)擊固定內(nèi)容。
• 盜用身份是主要手法——從2018年9月1日到10月31日,71%的虛假釣魚案例均是偽裝成10家頂級(jí)科技行業(yè)公司,從而獲得受害者的信任并實(shí)現(xiàn)欺詐。
• 金融機(jī)構(gòu)是節(jié)日釣魚季詐騙中的重點(diǎn)攻擊對(duì)象——但同時(shí),F(xiàn)5預(yù)計(jì)未來針對(duì)電子商務(wù)和物流行業(yè)的詐騙比重將會(huì)持續(xù)上升。
• 加強(qiáng)安全意識(shí)培訓(xùn),對(duì)于保護(hù)企業(yè)和個(gè)人免受網(wǎng)絡(luò)釣魚而言至關(guān)重要——通過培訓(xùn)員工辨別網(wǎng)絡(luò)釣魚騙局,企業(yè)能有效地將惡意電子郵件,鏈接和附件的點(diǎn)擊率從33%降低到13%。
• 控制出現(xiàn)在員工郵箱的釣魚電子郵件,是防御途徑之一——當(dāng)然,即便設(shè)置Web過濾,防病毒軟件和設(shè)置多重身份驗(yàn)證控制后,員工仍有機(jī)會(huì)成為網(wǎng)絡(luò)釣魚攻擊受害者。
網(wǎng)絡(luò)釣魚的技術(shù)和手段,從原理上說并不新鮮:通過一個(gè)心理誘餌,步步引導(dǎo)受害者,誤以為該虛假網(wǎng)絡(luò)程序和應(yīng)用是真實(shí)可信的。網(wǎng)絡(luò)釣魚者通常會(huì)按照如下三個(gè)步驟,來設(shè)置網(wǎng)絡(luò)釣魚騙局:
1. 目標(biāo)選擇:即尋找合適的受害者,特別要透過電子郵件地址和背景信息,總結(jié)出一個(gè)具有吸引力的心理痛點(diǎn)。
2. 社交機(jī)制:布置恰當(dāng)?shù)脑p騙誘餌,誘使受害者掉入陷阱,以竊取他們的賬戶并植入惡意軟件。在魚叉式網(wǎng)絡(luò)的釣魚案例中,這種誘餌是針對(duì)目標(biāo)受害者而定制的。每當(dāng)年終歲尾,網(wǎng)絡(luò)釣魚者會(huì)利用年終和節(jié)假日的各類活動(dòng)包裝出偽裝外衣。
3. 技術(shù)工程:釣魚者躲避開安全程序的掃描,以構(gòu)建虛假網(wǎng)站,制作惡意軟件等技術(shù)性方法開展詐騙。
F5對(duì)于消費(fèi)者及企業(yè)的建議
消費(fèi)者有必要認(rèn)識(shí)到,URL欺騙正是網(wǎng)絡(luò)釣魚的常用方法,任何電子郵件地址都帶有偽造性或欺騙性的可能性。
消費(fèi)者注意事項(xiàng):
1. 減少URLS應(yīng)用:盡量減少在如bit.ly這類服務(wù)網(wǎng)址上的瀏覽時(shí)間,因?yàn)樗麄兌伎梢允菒盒缘摹S脩魬?yīng)該打開新的瀏覽器選項(xiàng)卡,并搜索涉及到的有關(guān)內(nèi)容或網(wǎng)站。
2. 重視安全證書警告:警告會(huì)顯示在用戶瀏覽器,以提示當(dāng)前登錄網(wǎng)站的安全證書無效,或尚未由受信任的機(jī)構(gòu)頒發(fā)證書。如果用戶認(rèn)為該網(wǎng)站合法,不該忽略警告,應(yīng)另在單獨(dú)的瀏覽器窗口中搜索該網(wǎng)站。
3. 認(rèn)真檢查網(wǎng)址:偽造的網(wǎng)絡(luò)釣魚網(wǎng)站往往精心制作,偽裝出充分的合法性。因此,在提供登錄認(rèn)證或帳戶等任何個(gè)人信息之前,用戶應(yīng)養(yǎng)成認(rèn)真檢查地址欄中網(wǎng)址的習(xí)慣。
企業(yè)注意事項(xiàng):
隨著網(wǎng)絡(luò)釣魚變得愈加復(fù)雜和精明,安全意識(shí)培訓(xùn)對(duì)于保護(hù)企業(yè)和員工免受依托技術(shù)的網(wǎng)絡(luò)釣魚詐騙變得至關(guān)重要。其中,包括電子郵件標(biāo)簽,防病毒(AV)軟件,Web過濾和多因素身份驗(yàn)證等諸多方面的措施。
目前,尚沒有針對(duì)網(wǎng)絡(luò)釣魚的一站式安全把控體系。現(xiàn)有降低公司業(yè)務(wù)風(fēng)險(xiǎn)的方法,就是構(gòu)建出一個(gè)涵蓋員工,流程,技術(shù)的綜合可控安全架構(gòu)。
如想了解更多信息,請(qǐng)閱讀完整報(bào)告進(jìn)一步發(fā)現(xiàn)當(dāng)前的核心威脅,詳細(xì)了解網(wǎng)絡(luò)釣魚的細(xì)節(jié),并大量吸收建議,來保護(hù)企業(yè)免遭網(wǎng)絡(luò)釣魚的侵害。
