全球反網(wǎng)絡(luò)釣魚(yú)工作組(APWG)在10月至2019年12月期間檢測(cè)到的網(wǎng)絡(luò)釣魚(yú)站點(diǎn)總數(shù)為162,155個(gè)，這是在2019年7月至2019年9月記錄的歷史最高記錄——總計(jì)266,387起攻擊。

但是，大多數(shù)威脅是針對(duì)網(wǎng)絡(luò)犯罪團(tuán)伙表現(xiàn)出的趨勢(shì)，這些趨勢(shì)集中在：網(wǎng)絡(luò)托管電子郵件和社交媒體的用戶使?jié)撛谑芎φ叩臄?shù)量成倍增加;

[[316697]]

以及日益復(fù)雜的商務(wù)電子郵件妥協(xié)(BEC)計(jì)劃，以利用關(guān)鍵主管人員對(duì)公司資源的更廣泛訪問(wèn)以及更大的支付權(quán)限。

其他有趣的發(fā)現(xiàn)

通過(guò)大多數(shù)其他措施，2019年是在線用戶有史以來(lái)最危險(xiǎn)的年份之一。在2019年期間，巴西的網(wǎng)絡(luò)釣魚(yú)事件數(shù)量增加了232%。APWG成員公司Axur記錄了針對(duì)巴西葡萄牙語(yǔ)和巴西品牌和服務(wù)的攻擊，并指出在黑色星期五這種攻擊有所增加。

同樣，APWG成員公司Agari記錄了犯罪分子在假日購(gòu)物季節(jié)實(shí)施商業(yè)電子郵件妥協(xié)(BEC)攻擊并使用禮品卡兌現(xiàn)的情況。

攻擊者通過(guò)獲取禮品卡可以賺到的錢(qián)大大少于電匯。在第四季度，BEC參與者要求提供的平均禮品卡超過(guò)1600美元。但是對(duì)于電匯BEC攻擊，第四季度請(qǐng)求的平均詐騙金額超過(guò)55,000美元，”報(bào)告指出。

“我們?cè)诘谒募径瓤吹降恼嬲档米⒁獾氖虑橹皇钦?qǐng)求的禮品卡類型發(fā)生了變化。Google Play仍然是最受歡迎的禮品卡，但從27%減少到了15%。” Agari威脅研究高級(jí)總監(jiān)Crane Hassold說(shuō)。

[[316698]]

“我們看到eBay，Target，Best Buy和Sephora對(duì)禮品卡的需求有所增加。增長(zhǎng)的原因可能是所有這些公司都出售實(shí)物商品，因此攻擊會(huì)選在假日季節(jié)進(jìn)行的。

這可能表明詐騙者正在通過(guò)使用卡來(lái)購(gòu)買(mǎi)可以出售的實(shí)物商品來(lái)洗錢(qián)，而不是將錢(qián)投入在線加密貨幣交易所，這也是一種流行的洗錢(qián)選擇。”

APWG貢獻(xiàn)者OpSec Security在第四季度每月看到針對(duì)325個(gè)以上不同品牌(公司)的攻擊。

OpSec Security的反欺詐產(chǎn)品和市場(chǎng)經(jīng)理Stefanie Wood Ellis指出，網(wǎng)絡(luò)釣魚(yú)攻擊的最常見(jiàn)目標(biāo)仍然是Webmail，付款和銀行站點(diǎn)，但是“針對(duì)社交媒體目標(biāo)的網(wǎng)絡(luò)釣魚(yú)每年每季度都有增長(zhǎng)，在2019年翻了一番。”

使用SSL進(jìn)行更有效的網(wǎng)絡(luò)釣魚(yú)

APWG成員PhishLabs的研究人員記錄了網(wǎng)絡(luò)釣魚(yú)網(wǎng)站上SSL證書(shū)使用的增加。現(xiàn)在，幾乎所有釣魚(yú)網(wǎng)站中有四分之三使用SSL保護(hù)。這是自2015年初開(kāi)始跟蹤以來(lái)的最高百分比，并且明確表明用戶不能僅依靠SSL來(lái)了解網(wǎng)站是否安全。

[[316699]]

APWG成員RiskIQ分析了在2019年第四季度報(bào)告給APWG的2,149個(gè)經(jīng)過(guò)確認(rèn)的網(wǎng)絡(luò)釣魚(yú)URL，發(fā)現(xiàn)網(wǎng)絡(luò)釣魚(yú)者使用的最受歡迎的頂級(jí)域名是通用.com，.org，.net和.info TLD。