根據(jù)《2021年網(wǎng)絡釣魚調(diào)查報告》，70%的企業(yè)面臨網(wǎng)絡釣魚郵件增加的風險。按行業(yè)劃分，政府機構遭受攻擊最多(77%)，其次是商業(yè)和專業(yè)服務(76%)以及醫(yī)療衛(wèi)生(73%)。約500家美國公司參與調(diào)研，76%的公司稱網(wǎng)絡釣魚行為有所增加。本文列出2021 年的 10 種危險網(wǎng)絡釣魚攻擊趨勢，并總結釣魚攻擊的常見危險信號。

[[432245]]

1. 初始訪問代理利用率增加

初始訪問代理(Initial Access Brokers)是指通過多種方式獲取受害者網(wǎng)絡初始訪問權限的個人或團體。其最慣用的手段就是通過暴力訪問遠程桌面協(xié)議(RDP)或遠程管理軟件。有時候，攻擊者還會利用系統(tǒng)中未修補的漏洞。

目前，很多網(wǎng)絡罪犯團伙已選擇將精力投入到勒索軟件及從受害者獲取勒索贖金上，而把釣魚郵件的發(fā)送外包給初始訪問代理。一旦初始訪問代理獲取到受害者訪問權限，網(wǎng)絡罪犯團伙將接管該權限，安裝勒索軟件并賺取贖金。

2. 商業(yè)郵件入侵變多

隨著各組織轉(zhuǎn)向 Office 365 等基于云的電子郵件產(chǎn)品，黑客更容易獲得企業(yè)憑證，這反而使企業(yè)面臨更大的金融風險。商業(yè)電子郵件入侵 (BEC) 的門檻非常低，只需要一個免費的電子郵件帳戶和搜索引擎。

與此同時，商業(yè)電子郵件入侵攻擊是極其有利可圖，是從勒索軟件攻擊中獲利的四倍有余。菜鳥級的BEC攻擊通常通過社工的方式將禮品卡貨幣化，黑客冒充公司高管指示員工為當?shù)仞B(yǎng)老院購買禮品卡，以此作為慈善事業(yè)。

3. 品牌假冒和濫用

《財富》100強公司和其他組織經(jīng)常受到假冒營銷活動的影響，黑客仿制該品牌的營銷材料，讓受害者點擊釣魚郵件。比如黑客假扮稅務局，引導收件人點擊鏈接，以了解其納稅申報單狀況。

4. 自動電子郵件警報模板泄露

公司內(nèi)部自動電子郵件警報模板的泄露，對于希望發(fā)起網(wǎng)絡釣魚攻擊的攻擊者來說簡直是如獲至寶，因為收件人對電子郵件警報有隱性的信任感。這種信任通常被放大，因為特權管理員通常是公司組織中唯一知道這封電子郵件的人。

5. 針對小公司的針對性活動

攻擊者越來越多地使用具有高度針對性的勒索軟件，釣魚郵件攻擊那些以前只接收普通垃圾郵件的小公司。攻擊者喜歡研究小型企業(yè)的員工及其服務職能，并制作一封電子郵件，讓他們點擊鏈接或打開附件。大型企業(yè)通常具有抵御勒索的架構和數(shù)據(jù)備份，而小型組織通常沒有架構和數(shù)據(jù)備份來抵御勒索軟件團伙的要求。

6. 策反心懷不滿的員工竊取憑據(jù)

黑客越來越多地策反對企業(yè)心懷不滿的員工，讓他們分享自己的憑據(jù)以換取攻擊獲得的部分收益。員工通常在上班的第一天就可以自由訪問公司的IT系統(tǒng)，這意味著外部人員也可以利用這種訪問權限。企業(yè)應該了解，如果心懷不滿的員工與攻擊者分享了自己的雙因素身份驗證，將會產(chǎn)生什么樣的后果。

7. 社工“性勒索”

越來越多的攻擊者接近用戶，聲稱在受害者的個人電腦或移動設備上安裝了惡意軟件或木馬，記錄了他們觀看“不雅內(nèi)容”的過程。盡管黑客們從未在受害者的電腦上安裝過木馬程序，但他們會威脅說，除非給他們錢，否則他們就會發(fā)布犯罪視頻。

8. 詐騙短信

攻擊者越來越擅長通過設置網(wǎng)關來發(fā)送詐騙短信，這比設置電子郵件服務器稍微復雜一點。人們已經(jīng)習慣于不點擊可疑電子郵件，但對釣魚短信的防范意識還是沒能深入人心。

9. 冒充公司內(nèi)部人員和高管

攻擊者非常擅長將內(nèi)幕信息混入網(wǎng)絡釣魚郵件中，通過在郵件信息中假裝是公司CEO來引誘員工，要求與他們聯(lián)系。用戶要避免立即回復那些看起來有問題的短信和郵件，尤其是當居家辦公的時候。

10. 惡意短信側(cè)門攻擊

消費者并不熟悉如何在短信中識別釣魚行為，詐騙者利用這一盲點對消費者進行“短信詐騙”。銀行、電信和包裹往往是短信釣魚的常見類別，F(xiàn)luBot惡意軟件的黑客催促潛在目標點擊鏈接來跟蹤貨物。該鏈接將毫無防備的受害者重定向到一個登錄頁面，F(xiàn)luBot惡意軟件黑客在該頁面顯示自己是一家當?shù)氐目爝f公司。FluBot每周發(fā)送約1萬條信息，受害者最終會下載該惡意軟件。

網(wǎng)絡釣魚攻擊的常見危險信號

以下是如何識別網(wǎng)絡釣魚電子郵件的提示：

• 電子郵件不是針對您的個人地址。當你在公司中時，發(fā)件人應該知道您是誰，并且通常會發(fā)送給個人地址而非群發(fā)。
• 語法和拼寫錯誤：隨著網(wǎng)絡釣魚郵件的改進，請務必多讀兩遍，因為錯誤可能更難發(fā)現(xiàn)。
• 該電子郵件來自您從未與之交流過的公司。
• “一個需要緊急撥打的電話”、“點擊鏈接”、“登錄查看交易”等等類似的情況。
• 電子郵件地址：將鼠標懸停在電子郵件地址上，然后檢查發(fā)件人的真實地址和發(fā)件人的域名。
• 帶有附件的電子郵件，比如聲稱是某種類型的票據(jù)或通知。

在不確定電子郵件是真是假的情況下，建議直接通過瀏覽器訪問“發(fā)件人”官網(wǎng)，登錄您的帳戶并查找所有相關的信息。任何重要的信息都會出現(xiàn)在帳戶消息或收件箱中，如果需要，請聯(lián)系公司并驗證請求。

參考鏈接：

• https://www.welivesecurity.com/2021/10/13/phishing-how-be-one-got-away/
• https://www.crn.com/slide-shows/security/10-dangerous-phishing-attack-trends-to-know-about-in-2021/11

防范釣魚的其他建議：https://www.freebuf.com/articles/others-articles/174617.html