信息來源:企業(yè)網
近日,全球知名的應用交付廠商F5發(fā)布了《2018年網絡釣魚和欺詐報告:節(jié)假日為攻擊峰值》���。
據報告顯示����,2018年10月���、11月和12月的欺詐事件比往年攀升了超過50%。其中����,網絡釣魚仍然是首選渠道���,釣魚者通過盜取登錄認證和信用卡號碼等私密信息而實現犯罪。
該報告指出了網絡釣魚的幾個關鍵點���,包括手段、目標等:
1.主要手法是盜用身份:從2018年9月1日到10月31日���,71%的虛假釣魚案例均是偽裝成10家頂級科技行業(yè)公司���,從而獲得受害者的信任并實現欺詐。
2.重點攻擊對象是金融機構:無疑����,金融機構擁有大量的資金,這讓他們成為釣魚者的首選目標����。但F5預計,未來針對電子商務和物流行業(yè)的詐騙比重將會持續(xù)上升���。
說起來���,網絡釣魚并不罕見����,它通過一個心理誘餌����,一步步引導受害者,讓受害者以為該虛假網絡程序和應用是真實可信的����,進而掉進“圈套”。這個過程可分解為如下步驟:
a.目標選擇:
即尋找合適的受害者����,特別要透過電子郵件地址和背景信息,總結出一個具有吸引力的心理痛點����。
b.社交機制:
布置恰當的詐騙誘餌,誘使受害者掉入陷阱����,以竊取他們的賬戶并植入惡意軟件。在魚叉式網絡的釣魚案例中���,這種誘餌是針對目標受害者而定制的����。每當年終歲尾,網絡釣魚者會利用年終和節(jié)假日的各類活動包裝出偽裝外衣����。
c.技術工程:
釣魚者躲避開安全程序的掃描,以構建虛假網站���,制作惡意軟件等技術性方法開展詐騙。
針對網絡釣魚���,一方面要加強安全意識培訓���,另一方面是控制員工郵箱中的釣魚電子郵件。
據了解����,通過培訓員工辨別網絡釣魚騙局,企業(yè)能有效地將惡意電子郵件���,鏈接和附件的點擊率從33%降低到13%����。
對普通消費者來說,F5給出了三個建議:
1. 減少URLS應用:盡量減少在如bit.ly這類服務網址上的瀏覽時間����,因為他們都可以是惡性的。用戶應該打開新的瀏覽器選項卡����,并搜索涉及到的有關內容或網站。
2. 重視安全證書警告:警告會顯示在用戶瀏覽器���,以提示當前登錄網站的安全證書無效����,或尚未由受信任的機構頒發(fā)證書����。如果用戶認為該網站合法,不該忽略警告���,應另在單獨的瀏覽器窗口中搜索該網站���。
3. 認真檢查網址:偽造的網絡釣魚網站往往精心制作����,偽裝出充分的合法性����。因此,在提供登錄認證或帳戶等任何個人信息之前���,用戶應養(yǎng)成認真檢查地址欄中網址的習慣���。
對企業(yè)來說,隨著網絡釣魚變得愈加復雜和精明���,安全意識培訓對于保護企業(yè)和員工免受依托技術的網絡釣魚詐騙變得至關重要。
其中���,包括電子郵件標簽����,防病毒(AV)軟件���,Web過濾和多因素身份驗證等諸多方面的措施����。
因此,企業(yè)需要構建出一個涵蓋員工����、流程和技術的綜合可控安全架構。
