幾乎所有釣魚網站中有四分之三使用SSL保護
全球反網絡釣魚工作組(APWG)在10月至2019年12月期間檢測到的網絡釣魚站點總數為162,155個,這是在2019年7月至2019年9月記錄的歷史最高記錄——總計266,387起攻擊。
但是,大多數威脅是針對網絡犯罪團伙表現出的趨勢,這些趨勢集中在:網絡托管電子郵件和社交媒體的用戶使潛在受害者的數量成倍增加;
以及日益復雜的商務電子郵件妥協(BEC)計劃,以利用關鍵主管人員對公司資源的更廣泛訪問以及更大的支付權限。
其他有趣的發現
通過大多數其他措施,2019年是在線用戶有史以來最危險的年份之一。在2019年期間,巴西的網絡釣魚事件數量增加了232%。APWG成員公司Axur記錄了針對巴西葡萄牙語和巴西品牌和服務的攻擊,并指出在黑色星期五這種攻擊有所增加。
同樣,APWG成員公司Agari記錄了犯罪分子在假日購物季節實施商業電子郵件妥協(BEC)攻擊并使用禮品卡兌現的情況。
攻擊者通過獲取禮品卡可以賺到的錢大大少于電匯。在第四季度,BEC參與者要求提供的平均禮品卡超過1600美元。但是對于電匯BEC攻擊,第四季度請求的平均詐騙金額超過55,000美元,”報告指出。
“我們在第四季度看到的真正值得注意的事情之一是請求的禮品卡類型發生了變化。Google Play仍然是最受歡迎的禮品卡,但從27%減少到了15%。” Agari威脅研究高級總監Crane Hassold說。
“我們看到eBay,Target,Best Buy和Sephora對禮品卡的需求有所增加。增長的原因可能是所有這些公司都出售實物商品,因此攻擊會選在假日季節進行的。
這可能表明詐騙者正在通過使用卡來購買可以出售的實物商品來洗錢,而不是將錢投入在線加密貨幣交易所,這也是一種流行的洗錢選擇。”
APWG貢獻者OpSec Security在第四季度每月看到針對325個以上不同品牌(公司)的攻擊。
OpSec Security的反欺詐產品和市場經理Stefanie Wood Ellis指出,網絡釣魚攻擊的最常見目標仍然是Webmail,付款和銀行站點,但是“針對社交媒體目標的網絡釣魚每年每季度都有增長,在2019年翻了一番。”
使用SSL進行更有效的網絡釣魚
APWG成員PhishLabs的研究人員記錄了網絡釣魚網站上SSL證書使用的增加。現在,幾乎所有釣魚網站中有四分之三使用SSL保護。這是自2015年初開始跟蹤以來的最高百分比,并且明確表明用戶不能僅依靠SSL來了解網站是否安全。
APWG成員RiskIQ分析了在2019年第四季度報告給APWG的2,149個經過確認的網絡釣魚URL,發現網絡釣魚者使用的最受歡迎的頂級域名是通用.com,.org,.net和.info TLD。
