众所周知,对手会仔细研究公司的网站和社交渠道。也许他们发现了即将举行的慈善活动。谁经营慈善机构?他们的电子邮件签名是什么样的?慈善标志的颜色和尺寸是多少?这种信息对于攻击者来说是无价的。从那里,攻击者可以制作有针对性的消息。他们也可能会打电话跟进。即使目标已被警告可能存在诈骗,他们也可能会点击不该点击的内容。根据今年的IBMSecurityX-Force威胁情报指数,网络钓鱼仍然是威胁行为者获取受害网络访问权限的最常见方式。去年X-Force大约41%的攻击涉及这种策略。这一数字高于2020年的33%,涵盖所有类型的网络钓鱼,包括群发和高度针对性的电子邮件。世界上一些最先进的网络威胁行为者使用网络钓鱼来传递勒索软件、恶意软件、远程访问木马或恶意链接。出于一个简单的原因,网络钓鱼首先出现。“因为它有效!”,IBMSecurityX-ForceRed的全球社会工程专家StephanieCarruthers说。网络钓鱼攻击变得越来越复杂,不良行为者越来越有组织、越来越有创意,而且在瞄准目标方面也越来越聪明。Carruthers在红队攻击模拟中为IBM客户使用情报收集技术和策略。喜欢这些模拟的人比您想象的要多。近五分之一的人点击了来自X-ForceRed的有针对性的网络钓鱼活动。当攻击使用跟进电话时,二分之一的人会成为这种伎俩的牺牲品。尽管在安全方面取得了数十年的进步,网络钓鱼自1990年代以来就一直存在。但这并不是因为人们容易上当受骗,IBMX-ForceCyber??Range的技术团队经理CamilleSingleton说。以下是网络钓鱼仍然是一个严重威胁的四个原因:远程工作为攻击者提供了机会。在远程和混合工作的时代,公司严重依赖电子邮件,Carruthers说攻击者正在发送更多电子邮件以利用这种动态。同时,饮水机聊天的减少意味着员工随意互相提醒收件箱中可疑电子邮件的机会减少。网络罪犯正在磨砺他们的工具。心理操纵技术提高了网络钓鱼攻击的成功率。这些策略可以像通过电话或短信跟踪网络钓鱼电子邮件一样简单。当Carruthers和她的团队在他们模拟的目标网络钓鱼电子邮件中添加后续语音呼叫时,点击率上升到惊人的53.2%。这个数字是仅通过有针对性的电子邮件实现的17.8%点击率的三倍。在模拟攻击中,卡拉瑟斯说:“人们甚至对我说,‘我认为你发送的电子邮件看起来很可疑,但非常感谢你给我打电话。’人们不会质疑友好的声音。”更专业。威胁行为者不再需要一套专门的技术技能,因为黑市已经发展到可以满足需求。网络犯罪分子只需在暗网上购买带有求助热线帮助的网络钓鱼说明工具包。“当你想到暗网时,你会认为这些罪犯是阴暗的或无组织的,”卡拉瑟斯说。“但有些人几乎像专业企业一样运作。”安全培训不够创新。Carruthers说,随着电子邮件诈骗策略变得越来越复杂,安全培训跟不上变化的步伐。许多公司每年都会对其员工进行安全培训,并希望时间表能够提供保护。“在那个领域没有太多创新,”她说。“你可以给电脑打补丁,你可以给服务器打补丁——但你不能给人打补丁。”阻止钓鱼邮件和构建更强大的钓鱼邮件只是网络攻击的起点。一旦进入,威胁行为者就会部署下一阶段的攻击,例如勒索软件或数据盗窃。根据数据泄露成本报告,网络钓鱼诈骗造成的数据泄露平均使公司损失465万美元。不幸的是,没有任何一种工具或解决方案可以阻止所有网络钓鱼攻击。IBMSecurityX-Force高级网络威胁情报策略师CharlesDeBeck表示:“网络钓鱼提出了一个非常有趣的人类和技术挑战的交叉点。这就是防御如此具有挑战性的原因。”IBMSecurityX-ForceForce推荐一种分层方法,从过滤恶意消息的安全解决方案开始。零信任安全解决方案通过持续验证用户身份并最大限度地减少可以访问有价值数据资产的人数来防止攻击者渗透系统。多因素身份验证等技术促进了这种验证。拥有成熟的零信任策略可以在发生违规事件时节省资金。根据数据泄露成本报告,采用此策略的组织比不使用零信任的组织平均少花费176万美元。攻击者变得老练;他们学习滤波器和所有技术,因此不断测试它们以确保它们经过调整非常重要。最后,包含真实示例的员工培训计划至关重要。根据Carruthers的经验,员工对攻击者可能造成的破坏了解得越多,他们就越有可能识别和报告威胁。Carruthers从她的一位客户那里介绍了这个智能解决方案:每次员工收到网络钓鱼电子邮件时,公司都会对其进行截图并分解员工应该发现的任何危险信号,她认为这些都是经过良好培训和维护的。一个警惕的员工可以挫败许多网络钓鱼计划,包括她自己的钻探计划。
