APWG(反釣魚工作組)最新發(fā)布的網(wǎng)絡(luò)釣魚活動趨勢報告顯示，在2020年創(chuàng)下歷史新高(網(wǎng)絡(luò)釣魚網(wǎng)站數(shù)量翻了一番)之后，網(wǎng)絡(luò)釣魚在2021年第一季度繼續(xù)保持創(chuàng)紀錄的增長水平。

[[405936]]

報告顯示，網(wǎng)絡(luò)釣魚網(wǎng)站數(shù)量在2021年1月達到峰值，創(chuàng)下245,771個的歷史新高，然后在本季度晚些時候下降。盡管如此，3月份還是發(fā)生了超過200,00次的釣魚攻擊，這是APWG報告歷史上第四嚴重的月份。

“APWG的成員報告了更多已確認的網(wǎng)絡(luò)釣魚攻擊。然而，我們的數(shù)據(jù)存儲庫中沒有通報更多的攻擊，這意味著這些數(shù)字是底線，而互聯(lián)網(wǎng)上的實際情況比不斷增加的統(tǒng)計數(shù)字所反應(yīng)的情況還要糟糕。”APWG高級研究員、報告的編輯Greg Aaron說。

報告還發(fā)現(xiàn)，商業(yè)電子郵件(BEC)詐騙對某些受害者來說成本越來越高。BEC攻擊中的平均電匯請求從2020年第三季度的4.8萬美元增加到了2021年第一季度的8.5萬美元。研究人員還追蹤了BEC詐騙者使用的一種新策略：“應(yīng)收報告”騙局。

Crane Hassold說：“攻擊者冒充一家公司的高管，并看似輕描淡寫地向他們的會計部門索取一份最近的應(yīng)收報告副本，其中包含所有未付費客戶賬戶的列表，以及主要客戶聯(lián)系人的姓名和電子郵件地址。”Agari威脅研究高級總監(jiān)說道：“一旦攻擊者收到應(yīng)收報告，他就會瞄準受害者的客戶，要求他們將應(yīng)付款支付到詐騙者控制的新銀行賬戶。”

OpSec Security發(fā)現(xiàn)，針對金融機構(gòu)的網(wǎng)絡(luò)釣魚是第一季度最大的網(wǎng)絡(luò)釣魚攻擊類別，占所有攻擊的24.9%。OpSec還觀察到，針對社交媒體領(lǐng)域的網(wǎng)絡(luò)釣魚從2020年第四季度的11.8%激增至所有攻擊的23.6%。

網(wǎng)絡(luò)釣魚者還通過部署加密以欺騙用戶認為網(wǎng)絡(luò)釣魚站點是合法和安全的。APWG貢獻者PhishLabs發(fā)現(xiàn)，在2021年第一季度，83%的網(wǎng)絡(luò)釣魚站點啟用了SSL加密。自PhishLabs于2015年開始研究這些數(shù)字以來，這個數(shù)字首次趨于平穩(wěn)。

RiskIQ分析了域名用于網(wǎng)絡(luò)釣魚的情況，并分析了幾個特定的網(wǎng)絡(luò)釣魚活動。RiskIQ數(shù)字風(fēng)險副總裁喬納森·馬特科夫斯基 (Jonathan Matkowsky)表示：“由于全球新冠疫情尚未過去，我們必須保持對騙子的高度警惕，不法分子將繼續(xù)試圖通過濫用公眾對疫苗接種的興趣來非法獲利。”

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文