威瑞森最新(xīn)的《數據洩露調查報(bào)告》指出：社會工程對目标用戶的有效程度依然令人(rén)心驚，2016年超過30%的網絡釣魚消息都被打開了(le)——2014年釣魚消息打開比例僅為(wèi)24%。甚至有專家稱，沒有任何一(yī)個(gè)地區、行業或公司可以躲過網絡釣魚。

　　進一(yī)步分(fēn)析發現(xiàn)，憑證滲漏和交易秘密盜竊，依然是黑客的主要動機，而網絡釣魚的威脅正處于令人(rén)擔心的上(shàng)升過程。非營利組織“反網絡釣魚工作(zuò)組(APWG)”的發現(xiàn)印證了(le)該觀點。APWG發現(xiàn)零售業是最常被鎖定的目标，有記錄的攻擊就(jiù)超過了(le)40%。

　　AOL、盜版軟件與網絡釣魚的起源

　　社會工程技術一(yī)直就(jiù)是犯罪教科書的一(yī)部分(fēn);最早的網絡釣魚案例，發生(shēng)在20多年前。90年代初期，攻擊者将曾經流行的AOL平台鎖定為(wèi)目标，使用即時(shí)消息誘騙用戶透露他們的口令。

　　這(zhè)些(xiē)攻擊者鎖定高價值目标的耗時(shí)不算(suàn)太長，毫無戒備的受害者在“不驗證賬單信息就(jiù)馬上(shàng)删除賬戶”的壓力之下(xià)，往往很快(kuài)就(jiù)什(shén)麽都吐露了(le)。進一(yī)步演化(huà)，犯罪團夥不僅能(néng)獲得受害者的AOL憑證，他們的銀行賬号和支付卡信息也(yě)不能(néng)幸免。

　　AOL強化(huà)了(le)他們的反欺詐行動，實現(xiàn)新(xīn)方法以主動删除涉嫌網絡釣魚的賬戶。這(zhè)是決定性的一(yī)擊，迫使攻擊者轉而搜索新(xīn)的機會。

　　犯罪活動

　　網絡釣魚伴随着粗制濫造的電子(zǐ)郵件進入主流，這(zhè)些(xiē)郵件滿是拼寫錯誤、低(dī)分(fēn)辨率的圖片和設計問題，用戶很容易就(jiù)能(néng)分(fēn)辨出這(zhè)些(xiē)所謂的“迹象”。

　　同時(shí)，用戶也(yě)習慣于将拼寫錯誤等同于網絡釣魚，而将拼寫、語法和展示無錯的網站(zhàn)默認為(wèi)合法的。還有另一(yī)個(gè)慣性思維是，“HTTPS==100%安全”——研究人(rén)員(yuán)經常發現(xiàn)有威脅活動使用Let’sEncrypt憑證(使用域名驗證SSL)來(lái)灌輸危險的錯誤安全感。

　　如(rú)果想了(le)解網絡釣魚研究前沿，可以在推特上(shàng)粉“惡意軟件獵手團隊”。該團隊由@JAMESWT_MHT、@techhelplistcom和@demonslay335組成，發現(xiàn)并摧毀針對iCloud、PayPal和Facebook之類服務(wù)用戶的惡意活動。

　　WombatSecurityTechnologies在其開篇的《網絡釣魚狀态》報(bào)告中提示了(le)幾點意見。該調查報(bào)告發布于2016年1月(yuè)(yuè)，發現(xiàn)點擊率最高的網絡釣魚活動涉及的話(huà)題，都是人(rén)們在日常工作(zuò)中經常遇到的那些(xiē)，包括物流确認和HR文書。

　　有趣的是，雇員(yuán)在打開以“快(kuài)速緻富”計劃、獎勵和競賽為(wèi)噱頭的郵件時(shí)，反而更加謹慎。考慮到我們可以從這(zhè)些(xiē)報(bào)告中抽取的普世經驗時(shí)，一(yī)個(gè)明顯的發現(xiàn)就(jiù)是，網絡釣魚依然是各種攻擊的主催化(huà)劑。

　　魚叉式網絡釣魚

　　過去10年裏最惡名昭彰的一(yī)些(xiē)網絡犯罪，就(jiù)拿零售連鎖店(diàn)、大學和銀行來(lái)說(shuō)吧(ba)，都是由某用戶打開了(le)一(yī)封魚叉式網絡釣魚郵件引發的。傳統網絡釣魚采用廣撒網戰術，寄希望于中獎似的機會，魚叉式網絡釣魚則是高度針對性的。

　　技術研究公司VansonBourne将成功魚叉式網絡釣魚攻擊的平均經濟影響定位在160萬美元。利用收集到的信息和開源情報(bào)(OSINT)饋送，黑客為(wèi)精選出來(lái)的一(yī)小部分(fēn)雇員(yuán)精心編制個(gè)性化(huà)的誘餌郵件。

　　由于魚叉式網絡釣魚郵件如(rú)此與衆不同，傳統信譽和垃圾郵件過濾往往檢測不出其中包含的惡意内容。魚叉式網絡釣魚攻擊還能(néng)結合進發家僞造、多态URL和偷渡式下(xià)載來(lái)規避常規防護措施。

　　釣鲸和CEO詐騙

　　釣鲸，是用來(lái)描述專門針對單一(yī)高調商(shāng)業目标的網絡釣魚攻擊的。CEO、部門主管和其他高管級員(yuán)工，代表着公司的大魚。

　　釣鲸攻擊中，黑客發送的郵件都帶有精心制作(zuò)的托辭——往往圍繞“緊急電彙”或金(jīn)融交易編織而成。因此，釣鲸往往被等同于CEO詐騙和商(shāng)業電子(zǐ)郵件入侵(BEC)騙局。

　　新(xīn)興技術

　　1.社交媒體(tǐ)欺騙

　　2016年末，Proofpoint報(bào)道了(le)網絡罪犯冒用英國銀行客戶服務(wù)部門推特資料的事(shì)。這(zhè)些(xiē)高級黑客模仿了(le)銀行員(yuán)工的命名慣例、可見資産和特殊習慣。

　　網絡罪犯用與你真實客戶支持賬号相似的昵稱，創建極具可信度的虛假客戶服務(wù)賬号。然後，他們等待客戶向真實賬号求助。當你的客戶試圖聯系公司時(shí)，罪犯就(jiù)會通過發自虛假支持頁面的虛假客戶支持鏈接來(lái)劫持對話(huà)。

　　這(zhè)種别名為(wèi)“安康魚”的網絡釣魚攻擊方法(注意别與Angler漏洞利用工具包搞混了(le))，因為(wèi)客戶早已預期收到公司的回複，而成功率極高。在最近的《社交媒體(tǐ)品牌欺詐報(bào)告》中，Proofpoint發現(xiàn)，與10家全球品牌有關(guān)的社交媒體(tǐ)賬号中，近20%都是虛假的。

　　2.勒索軟件和軟定位

　　PhishMe的2016第1季度《惡意軟件綜述》發現(xiàn)，有記錄的所有網絡釣魚郵件中，92%都含有某種加密勒索軟件。到了(le)第3季度，該數字增長到了(le)97%。

　　研究人(rén)員(yuán)指出，Locky繼續領跑最靈活勒索軟件變種家族，犯罪團夥不斷精煉其構造和投放(fàng)方式。軟定位和廣分(fēn)布攻擊的使用也(yě)是關(guān)鍵;“軟定位”部署的網絡釣魚，介于釣鲸攻擊和大規模網絡釣魚郵件之間(jiān)。

　　PhishMe的報(bào)告，給讀者留下(xià)了(le)令人(rén)不安的結論：

　　對勒索軟件的快(kuài)速意識和關(guān)注，迫使攻擊者轉移和叠代他們的戰術，無論攻擊載荷還是投放(fàng)方式。這(zhè)一(yī)持續的韌性顯示出，僅僅意識到網絡釣魚和威脅，是不夠的。

　　3.Dropbox和GoogleDrive

　　基于雲存儲服務(wù)的網絡釣魚活動，比如(rú)GoogleDrive和Dropbox，已經存在好(hǎo)(hǎo)些(xiē)年了(le)。這(zhè)些(xiē)在形式上(shàng)通常很傳統——用鏈接和暗示導引受害者到虛假登錄頁面。

　　最近就(jiù)有人(rén)遇到過罪犯将圖像僞裝成Gmail裏的PDF附件，但(dàn)實際上(shàng)就(jiù)是個(gè)導引用戶到谷歌(gē)賬戶釣魚網站(zhàn)的鏈接。

　　保持安全的6條建議(yì)：

　　1.避免回複可疑郵件或與發送者産生(shēng)聯系

　　2.自己打開網站(zhàn)——不要點擊嵌入的鏈接或媒體(tǐ)

　　3.警惕含有催促或威脅意味的托辭

　　4.用帶外通信核實請求和信息

　　5.檢查浏覽器(qì)以确保反網絡釣魚服務(wù)是啓用的

　　6.使用口令管理(lǐ)器(qì);不要跨多個(gè)網站(zhàn)重用同樣的口令