根据《2021年网络钓鱼调查报告》,70%的企业面临钓鱼邮件增加的风险。按行业划分,政府机构受到的攻击最多(77%),其次是商业和专业服务(76%)以及医疗保健(73%)。大约500家美国公司参与了调查,76%的公司报告网络钓鱼有所增加。本文列出了2021年的10种危险网络钓鱼趋势,并总结了网络钓鱼攻击的常见危险信号。1.增加初始访问代理的利用率初始访问代理(InitialAccessBrokers)是指通过各种方式获得受害者网络初始访问权的个人或团体。其最常见的方法是通过暴力访问远程桌面协议(RDP)或远程管理软件。有时,攻击者还会利用系统中未修补的漏洞。目前,许多网络犯罪集团都选择将精力集中在勒索软件和从受害者身上勒索赎金上,而将钓鱼邮件的发送外包给初始访问代理。一旦初始访问代理获得对受害者的访问权限,网络犯罪团伙就会接手安装勒索软件并赚取赎金。2.企业电子邮件入侵事件呈上升趋势随着组织转向Office365等基于云的电子邮件产品,黑客可以更轻松地获取企业凭据,从而使企业面临更大的财务风险。企业电子邮件妥协(BEC)的进入门槛非常低,只需要一个免费的电子邮件帐户和一个搜索引擎。同时,商业电子邮件泄露攻击的利润极高,是勒索软件攻击的四倍多。菜鸟级BEC攻击通常通过社会工程将礼品卡货币化,黑客冒充公司高管,指示员工为当地疗养院购买礼品卡作为慈善机构。3.品牌假冒和滥用《财富》100强公司和其他组织经常受到假冒营销活动的影响,黑客复制品牌的营销材料并让受害者点击网络钓鱼电子邮件。例如,黑客假装是税务局并引导收件人单击链接以了解其纳税申报表的状态。4.自动电子邮件警报模板泄露公司内部自动电子邮件警报模板的泄漏对于希望发起网络钓鱼攻击的攻击者来说是一个福音,因为收件人对电子邮件警报有隐含的信任。这种信任通常会被放大,因为特权管理员通常是组织中唯一知道电子邮件的人。5.针对小企业的有针对性的活动攻击者越来越多地使用针对性很强的勒索软件和网络钓鱼电子邮件来针对以前只接收普通垃圾邮件的小企业。攻击者喜欢研究小型企业的员工及其服务功能,并制作一封电子邮件,让他们点击链接或打开附件。大型企业通常有架构和数据备份来抵御勒索软件,而较小的组织通常没有架构和数据备份来抵御勒索软件团伙的需求。6.诱骗心怀不满的员工窃取凭证黑客越来越多地以公司心怀不满的员工为目标,让他们分享凭证以换取部分攻击收益。员工在上班的第一天通常可以免费访问公司的IT系统,这意味着外部人员也可以利用该访问权限。如果心怀不满的员工与攻击者分享他们的双因素身份验证,企业应该了解后果。7、社会工作“勒索”越来越多的攻击者接近用户,声称在受害者的个人电脑或移动设备上安装恶意软件或木马,并记录他们观看“不雅内容”的情况。虽然黑客从未在受害人的电脑上安装木马,但他们威胁说,除非他们得到报酬,否则他们会发布犯罪视频。8.欺骗性短信攻击者越来越擅长设置网关来发送欺骗性短信,这比设置电子邮件服务器要复杂一些。人们已经习惯了不去点击可疑邮件,但是防范钓鱼短信的意识还没有深入人心。9.冒充公司内部人员和高管攻击者非常擅长将内部信息混入网络钓鱼邮件中,通过在邮件中冒充公司首席执行官并要求与他们联系来引诱员工。用户应避免立即回复看似有问题的短信和电子邮件,尤其是在家工作时。10、恶意短信侧门攻击消费者不熟悉如何识别短信中的钓鱼行为,骗子利用这一盲点对消费者进行“短信诈骗”。银行、电信和包裹往往是SMS网络钓鱼的常见类别,FluBot恶意软件的黑客敦促潜在目标点击链接以跟踪货物。该链接将毫无戒心的受害者重定向到一个登录页面,FluBot恶意软件黑客在该页面上将自己标识为当地一家快递公司。FluBot每周发送大约10,000条消息,受害者最终会下载该恶意软件。网络钓鱼攻击的常见危险信号以下是有关如何发现网络钓鱼电子邮件的提示:该电子邮件并非针对您的个人地址。当你在做生意时,发件人应该知道你是谁,并且通常会发送到个人地址而不是群发邮件。语法和拼写错误:随着网络钓鱼电子邮件的改进,请务必阅读它们两遍,因为更难发现错误。这封电子邮件来自一家您从未与之联系过的公司。“急需拨打的电话”、“点击链接”、“登录查看交易”等。邮箱地址:将鼠标悬停在邮箱地址上,查看发件人真实地址和发件人域名。带有附件的电子邮件,例如声称是某种注释或通知。如果您不确定电子邮件是否真实,建议您直接通过浏览器访问“发件人”官方网站,登录您的帐户并查找所有相关信息。任何重要信息将出现在帐户消息或收件箱中,请联系公司并在需要时验证请求。参考链接:https://www.welivesecurity.com/2021/10/13/phishing-how-be-one-got-away/https://www.crn.com/slide-shows/security/10-dangerous-phishing-attack-trends-to-know-about-in-2021/11关于防止网络钓鱼的其他建议:https://www.freebuf.com/articles/others-articles/174617.html
