網絡釣魚仍然是最主要的攻擊方法
眾所周知,攻擊者會仔細研究公司的網站和社交渠道。也許他們發現提到了即將舉行的慈善活動。誰經營慈善事業?他們的電子郵件簽名是什么樣的?慈善機構標志的顏色和尺寸是什么?
這種信息對攻擊者來說是無價的。從那里,攻擊者可以制作有針對性的消息。他們也可能會打電話跟進。即使目標已經被警告過可能存在詐騙,他們也可能會點擊他們不應該點擊的東西。
根據今年的 IBM Security X-Force威脅情報指數,網絡釣魚仍是威脅行為者訪問受害者網絡的最常見方式。X-Force 去年的攻擊中,約有 41% 涉及這種策略。
這一數字高于 2020 年的 33%,涵蓋了所有類型的網絡釣魚,包括群發電子郵件和高度針對性的電子郵件。世界上一些最先進的網絡威脅參與者使用網絡釣魚來傳遞勒索軟件、惡意軟件、遠程訪問木馬或惡意鏈接。
網絡釣魚是第一位的,原因很簡單。
“因為它有效!”,IBM Security X-Force Red 的全球社會工程專家 Stephanie Carruthers 如是說。網絡釣魚攻擊越來越復雜,不良行為者變得更有組織、更有創新性和更聰明地定位目標。Carruthers 在紅隊攻擊模擬中為 IBM 客戶使用情報收集技巧和策略。
喜歡這些模擬的人比你想象的要多。近五分之一的人點擊了來自 X-Force Red 的有針對性的網絡釣魚活動。當攻擊使用后續電話時,二分之一的人會成為這個伎倆的犧牲品。
盡管幾十年的安全進步,網絡釣魚自 1990 年代以來一直存在。但這并不是因為人們容易上當受騙,IBM X-Force Cyber Range 技術團隊經理 Camille Singleton 說。
以下四個原因說明了網絡釣魚仍然是一個嚴重威脅的原因:
- 遠程工作為攻擊者提供了機會。在遠程和混合工作時代,公司嚴重依賴電子郵件,Carruthers 表示,攻擊者正在發送更多電子郵件以利用這種動態。同時,更少的飲水機聊天意味著員工隨意警告對方收件箱中的可疑電子郵件的機會更少。
- 網絡犯罪分子正在磨礪他們的工具。心理操縱技術提高了網絡釣魚攻擊的成功率。這些策略可以簡單到通過電話或短信跟蹤網絡釣魚電子郵件。當 Carruthers 和她的團隊在他們的模擬目標網絡釣魚電子郵件中添加后續語音呼叫時,點擊率上升到了驚人的53.2%。這個數字比僅通過目標電子郵件實現的 17.8% 的點擊率高出三倍。在模擬攻擊期間,Carruthers 說:“人們甚至對我說,‘我認為你發送的電子郵件看起來很可疑,但非常感謝你給我打電話。’ 人們不會質疑友好的聲音。”
- 黑市組織越來越專業。威脅者不再需要一套專門的技術技能,因為黑市已經發展到滿足需求。網絡犯罪分子可以簡單地在暗網上購買一個帶有求助熱線幫助的網絡釣魚指令工具包。“當你想到暗網時,你會認為這些犯罪分子是陰暗的或無組織的,”Carruthers 說。“但有些人幾乎像專業企業一樣運作。”
- 安全培訓不夠創新。Carruthers 說,隨著電子郵件詐騙策略越來越先進,安全培訓并沒有跟上變化的步伐。許多公司每年都會對員工進行安全培訓,并希望時間表能夠提供保護。“在那個領域并沒有太多的創新,”她說。“你可以給電腦打補丁,你可以給服務器打補丁——但你不能給一個人打補丁。”
阻止網絡釣魚電子郵件,建立更強大的網絡
網絡釣魚電子郵件只是網絡攻擊的起點。一旦進入,威脅參與者就會部署下一階段的攻擊,例如勒索軟件或數據盜竊。根據數據泄露報告的成本,由網絡釣魚詐騙引起的數據泄露平均給公司造成 465 萬美元的損失。
不幸的是,沒有一種工具或解決方案可以阻止所有網絡釣魚攻擊。
IBM Security X-Force 高級網絡威脅情報戰略分析師 Charles DeBeck 表示:“網絡釣魚提出了人類和技術挑戰的真正有趣的交叉點。這就是讓防御變得如此具有挑戰性的原因。”
IBM Security X-Force 建議采用分層方法,從過濾惡意消息的安全解決方案開始。零信任安全解決方案通過不斷驗證用戶的身份并最大限度地減少可以訪問有價值數據資產的人數,防止攻擊者深入系統。多因素身份驗證等技術有助于此驗證。
擁有成熟的零信任策略可以在發生違規事件時節省資金。根據數據泄露成本報告,采用這種策略的組織平均比不使用零信任的組織少花費 176 萬美元。
攻擊者變得老練;他們學習過濾器和所有技術的方法,因此繼續測試它們以確保得到調整非常重要。
最后,包含真實示例的員工培訓計劃至關重要。根據 Carruthers 的經驗,員工越了解攻擊者可能造成的損害,就越有可能識別和報告威脅。
Carruthers 從她的一位客戶那里介紹了這個智能解決方案:每次員工收到網絡釣魚電子郵件時,公司都會對其進行截圖,并分解員工應該發現的所有危險信號,她認為訓練有素且保持警惕的員工可以挫敗許多網絡釣魚計劃,包括她自己的演練計劃。
