信息來(lái)源:企業(yè)網(wǎng)
近日��,全球知名的應(yīng)用交付廠(chǎng)商F5發(fā)布了《2018年網(wǎng)絡(luò)釣魚(yú)和欺詐報(bào)告:節(jié)假日為攻擊峰值》���。
據(jù)報(bào)告顯示,2018年10月�、11月和12月的欺詐事件比往年攀升了超過(guò)50%�����。其中���,網(wǎng)絡(luò)釣魚(yú)仍然是首選渠道,釣魚(yú)者通過(guò)盜取登錄認(rèn)證和信用卡號(hào)碼等私密信息而實(shí)現(xiàn)犯罪����。
該報(bào)告指出了網(wǎng)絡(luò)釣魚(yú)的幾個(gè)關(guān)鍵點(diǎn)�����,包括手段��、目標(biāo)等:
1.主要手法是盜用身份:從2018年9月1日到10月31日���,71%的虛假釣魚(yú)案例均是偽裝成10家頂級(jí)科技行業(yè)公司����,從而獲得受害者的信任并實(shí)現(xiàn)欺詐��。
2.重點(diǎn)攻擊對(duì)象是金融機(jī)構(gòu):無(wú)疑,金融機(jī)構(gòu)擁有大量的資金,這讓他們成為釣魚(yú)者的首選目標(biāo)。但F5預(yù)計(jì)�����,未來(lái)針對(duì)電子商務(wù)和物流行業(yè)的詐騙比重將會(huì)持續(xù)上升。
說(shuō)起來(lái)���,網(wǎng)絡(luò)釣魚(yú)并不罕見(jiàn)���,它通過(guò)一個(gè)心理誘餌�,一步步引導(dǎo)受害者�,讓受害者以為該虛假網(wǎng)絡(luò)程序和應(yīng)用是真實(shí)可信的����,進(jìn)而掉進(jìn)“圈套”��。這個(gè)過(guò)程可分解為如下步驟:
a.目標(biāo)選擇:
即尋找合適的受害者,特別要透過(guò)電子郵件地址和背景信息����,總結(jié)出一個(gè)具有吸引力的心理痛點(diǎn)�。
b.社交機(jī)制:
布置恰當(dāng)?shù)脑p騙誘餌�,誘使受害者掉入陷阱,以竊取他們的賬戶(hù)并植入惡意軟件�����。在魚(yú)叉式網(wǎng)絡(luò)的釣魚(yú)案例中�,這種誘餌是針對(duì)目標(biāo)受害者而定制的���。每當(dāng)年終歲尾,網(wǎng)絡(luò)釣魚(yú)者會(huì)利用年終和節(jié)假日的各類(lèi)活動(dòng)包裝出偽裝外衣����。
c.技術(shù)工程:
釣魚(yú)者躲避開(kāi)安全程序的掃描,以構(gòu)建虛假網(wǎng)站�,制作惡意軟件等技術(shù)性方法開(kāi)展詐騙���。
針對(duì)網(wǎng)絡(luò)釣魚(yú)����,一方面要加強(qiáng)安全意識(shí)培訓(xùn)��,另一方面是控制員工郵箱中的釣魚(yú)電子郵件。
據(jù)了解��,通過(guò)培訓(xùn)員工辨別網(wǎng)絡(luò)釣魚(yú)騙局���,企業(yè)能有效地將惡意電子郵件,鏈接和附件的點(diǎn)擊率從33%降低到13%�����。
對(duì)普通消費(fèi)者來(lái)說(shuō)�,F(xiàn)5給出了三個(gè)建議:
1. 減少URLS應(yīng)用:盡量減少在如bit.ly這類(lèi)服務(wù)網(wǎng)址上的瀏覽時(shí)間,因?yàn)樗麄兌伎梢允菒盒缘摹S脩?hù)應(yīng)該打開(kāi)新的瀏覽器選項(xiàng)卡���,并搜索涉及到的有關(guān)內(nèi)容或網(wǎng)站����。
2. 重視安全證書(shū)警告:警告會(huì)顯示在用戶(hù)瀏覽器�����,以提示當(dāng)前登錄網(wǎng)站的安全證書(shū)無(wú)效�,或尚未由受信任的機(jī)構(gòu)頒發(fā)證書(shū)����。如果用戶(hù)認(rèn)為該網(wǎng)站合法�����,不該忽略警告�,應(yīng)另在單獨(dú)的瀏覽器窗口中搜索該網(wǎng)站���。
3. 認(rèn)真檢查網(wǎng)址:偽造的網(wǎng)絡(luò)釣魚(yú)網(wǎng)站往往精心制作��,偽裝出充分的合法性����。因此���,在提供登錄認(rèn)證或帳戶(hù)等任何個(gè)人信息之前����,用戶(hù)應(yīng)養(yǎng)成認(rèn)真檢查地址欄中網(wǎng)址的習(xí)慣����。
對(duì)企業(yè)來(lái)說(shuō)���,隨著網(wǎng)絡(luò)釣魚(yú)變得愈加復(fù)雜和精明,安全意識(shí)培訓(xùn)對(duì)于保護(hù)企業(yè)和員工免受依托技術(shù)的網(wǎng)絡(luò)釣魚(yú)詐騙變得至關(guān)重要�����。
其中����,包括電子郵件標(biāo)簽����,防病毒(AV)軟件��,Web過(guò)濾和多因素身份驗(yàn)證等諸多方面的措施�。
因此����,企業(yè)需要構(gòu)建出一個(gè)涵蓋員工����、流程和技術(shù)的綜合可控安全架構(gòu)。
