根據網絡安全服務商Group-IB公司日前發布的一份調查報告，到2022年，網絡釣魚工具包的使用量增加了25%。

報告指出，2022年已經識別出3677個獨特的網絡釣魚工具包，與2021年相比增加了25%。網絡釣魚工具包使網絡犯罪分子能夠同時創建和操作多個網絡釣魚頁面。這些都是威脅行為者的有用工具，因為它們能夠使他們毫不費力地構建和維護執行大規模網絡釣魚活動所需的基礎設施，在遭到網絡安全措施阻止的情況下可以從一個主機轉移到另一個主機，并收集被盜的數據。

網絡釣魚工具包處理被盜數據的方法

網絡釣魚網站旨在收集個人數據，并需要特定的方法來收集和存儲這些數據。大部分被盜數據仍然是通過電子郵件處理的。總的來說，從2022年開始，只有不到一半的網絡釣魚工具包依賴電子郵件來處理被盜信息，而Gmail是網絡釣魚工具包創建者最喜歡使用的電子郵件服務(45%)。

一個持續的趨勢是Telegram在收集被盜數據方面的流行。與前一年相比，2022年使用Telegram收集被盜數據的網絡釣魚工具包數量幾乎翻了一番。

2021年，5.6%的網絡釣魚工具包使用Telegram來處理被盜數據。一年后，Telegram的份額上升到9.4%。郵件的靈活性和便利性使得網絡罪犯幾乎可以實時地處理和管理泄露的信息。

許多網絡釣魚工具使用不止一種方法來處理被盜數據。例如，在2022年，大約有1500個網絡釣魚工具包包含通過Telegram、電子郵件或將數據寫入服務器的本地文件來傳輸被盜數據的功能，這表明它們越來越復雜。

規避檢測技術

隨著Telegram的使用量越來越多，網絡釣魚攻擊也變得越來越復雜，因為網絡犯罪分子專注于增強逃避能力，以避免被發現和刪除。

在2021～2022年期間，網絡釣魚工具包中發現的規避技術分為兩類：簡單的訪問控制機制和更先進的檢測規避方法。

在第一類中，超文本訪問(.htaccess)在2022年成為最流行的規避技術——20%的檢測到的網絡釣魚工具包使用了這種策略。配置文件能夠使網站運營商根據訪問者的IP地址限制對特定目錄的訪問。

2022年第二受歡迎的訪問控制策略是robots.txt(在12%的工具包中看到)，這是另一個防止機器人和搜索引擎爬蟲訪問網站的配置文件。

總體而言，與前一年相比，使用簡單訪問控制機制的數量在2022年增加了92%，達到1824個，當時有951個網絡釣魚工具包使用了某種選擇性限制。

為了阻礙網絡安全專家的工作和現成的網絡安全解決方案，越來越多的網絡釣魚工具包包含了先進的檢測逃避技術。基本機制包括將網絡安全供應商的IP和主機名列入黑名單。

反機器人技術

更復雜的策略包括使用反機器人技術、目錄隨機化等。2022年，2060個網絡釣魚工具包使用了這種策略，與一年前相比增加了26%。

值得注意的是，在2022年，Group-IB公司研究人員發現，旨在防止自動網絡安全掃描儀識別網絡釣魚內容的反機器人技術的使用增加了40%。

釣魚者的主要目標之一是延長其網絡釣魚的周期。因此，最常用的檢測規避技術是動態目錄。網絡釣魚運營商創建隨機網站文件夾，只有個性化網絡釣魚URL的接收者才能訪問這些文件夾，沒有初始鏈接就無法訪問這些文件夾。

這種技術能夠使網絡釣魚者逃避檢測和黑名單，因為網絡釣魚內容不會暴露自己。在2022年檢測到的網絡釣魚工具包中，有22%使用了動態目錄。

另一種流行的策略(在2022年11%的網絡釣魚工具包中觀察到)是，如果訪問者的設備參數、地理位置和推薦人與受害者的個人資料不匹配，則向訪問者顯示虛假的404頁面。

Group-IB公司的CEO Dmitry Volkov表示：“自動化使網絡釣魚者每天能夠創建和管理數百個網站。”

Volkov總結說，“提取和監控網絡釣魚工具包是防止網絡釣魚攻擊的重要組成部分。它可以在網絡釣魚造成巨大破壞之前幫助識別和阻止它。此外，從情報收集的角度來看，對網絡釣魚工具包的分析是非常寶貴的，因為它可以深入了解對手的策略、技術和程序 (TTP)。在許多情況下，它還可以幫助企業識別網絡釣魚工具包的開發人員，這對起訴威脅行為者很有用。”