信息來源:企業(yè)網(wǎng)
近日,全球知名的應(yīng)用交付廠商F5發(fā)布了《2018年網(wǎng)絡(luò)釣魚和欺詐報告:節(jié)假日為攻擊峰值》�。
據(jù)報告顯示,2018年10月�����、11月和12月的欺詐事件比往年攀升了超過50%�����。其中���,網(wǎng)絡(luò)釣魚仍然是首選渠道�����,釣魚者通過盜取登錄認證和信用卡號碼等私密信息而實現(xiàn)犯罪�����。
該報告指出了網(wǎng)絡(luò)釣魚的幾個關(guān)鍵點���,包括手段、目標等:
1.主要手法是盜用身份:從2018年9月1日到10月31日����,71%的虛假釣魚案例均是偽裝成10家頂級科技行業(yè)公司,從而獲得受害者的信任并實現(xiàn)欺詐��。
2.重點攻擊對象是金融機構(gòu):無疑�����,金融機構(gòu)擁有大量的資金��,這讓他們成為釣魚者的首選目標�。但F5預(yù)計,未來針對電子商務(wù)和物流行業(yè)的詐騙比重將會持續(xù)上升�。
說起來,網(wǎng)絡(luò)釣魚并不罕見�,它通過一個心理誘餌�����,一步步引導(dǎo)受害者�,讓受害者以為該虛假網(wǎng)絡(luò)程序和應(yīng)用是真實可信的�����,進而掉進“圈套”���。這個過程可分解為如下步驟:
a.目標選擇:
即尋找合適的受害者����,特別要透過電子郵件地址和背景信息����,總結(jié)出一個具有吸引力的心理痛點。
b.社交機制:
布置恰當?shù)脑p騙誘餌���,誘使受害者掉入陷阱�,以竊取他們的賬戶并植入惡意軟件�。在魚叉式網(wǎng)絡(luò)的釣魚案例中,這種誘餌是針對目標受害者而定制的��。每當年終歲尾,網(wǎng)絡(luò)釣魚者會利用年終和節(jié)假日的各類活動包裝出偽裝外衣��。
c.技術(shù)工程:
釣魚者躲避開安全程序的掃描��,以構(gòu)建虛假網(wǎng)站�����,制作惡意軟件等技術(shù)性方法開展詐騙��。
針對網(wǎng)絡(luò)釣魚���,一方面要加強安全意識培訓(xùn),另一方面是控制員工郵箱中的釣魚電子郵件�。
據(jù)了解,通過培訓(xùn)員工辨別網(wǎng)絡(luò)釣魚騙局���,企業(yè)能有效地將惡意電子郵件���,鏈接和附件的點擊率從33%降低到13%。
對普通消費者來說����,F(xiàn)5給出了三個建議:
1. 減少URLS應(yīng)用:盡量減少在如bit.ly這類服務(wù)網(wǎng)址上的瀏覽時間��,因為他們都可以是惡性的�。用戶應(yīng)該打開新的瀏覽器選項卡�����,并搜索涉及到的有關(guān)內(nèi)容或網(wǎng)站�����。
2. 重視安全證書警告:警告會顯示在用戶瀏覽器�����,以提示當前登錄網(wǎng)站的安全證書無效��,或尚未由受信任的機構(gòu)頒發(fā)證書��。如果用戶認為該網(wǎng)站合法�����,不該忽略警告��,應(yīng)另在單獨的瀏覽器窗口中搜索該網(wǎng)站����。
3. 認真檢查網(wǎng)址:偽造的網(wǎng)絡(luò)釣魚網(wǎng)站往往精心制作����,偽裝出充分的合法性����。因此,在提供登錄認證或帳戶等任何個人信息之前���,用戶應(yīng)養(yǎng)成認真檢查地址欄中網(wǎng)址的習(xí)慣�����。
對企業(yè)來說,隨著網(wǎng)絡(luò)釣魚變得愈加復(fù)雜和精明��,安全意識培訓(xùn)對于保護企業(yè)和員工免受依托技術(shù)的網(wǎng)絡(luò)釣魚詐騙變得至關(guān)重要�����。
其中�,包括電子郵件標簽,防病毒(AV)軟件����,Web過濾和多因素身份驗證等諸多方面的措施���。
因此,企業(yè)需要構(gòu)建出一個涵蓋員工�、流程和技術(shù)的綜合可控安全架構(gòu)。
