根據(jù)《2021年網(wǎng)絡(luò)釣魚調(diào)查報(bào)告》，70%的企業(yè)面臨網(wǎng)絡(luò)釣魚郵件增加的風(fēng)險(xiǎn)。按行業(yè)劃分，政府機(jī)構(gòu)遭受攻擊最多(77%)，其次是商業(yè)和專業(yè)服務(wù)(76%)以及醫(yī)療衛(wèi)生(73%)。約500家美國公司參與調(diào)研，76%的公司稱網(wǎng)絡(luò)釣魚行為有所增加。本文列出2021 年的 10 種危險(xiǎn)網(wǎng)絡(luò)釣魚攻擊趨勢，并總結(jié)釣魚攻擊的常見危險(xiǎn)信號。

[[432245]]

1. 初始訪問代理利用率增加

初始訪問代理(Initial Access Brokers)是指通過多種方式獲取受害者網(wǎng)絡(luò)初始訪問權(quán)限的個(gè)人或團(tuán)體。其最慣用的手段就是通過暴力訪問遠(yuǎn)程桌面協(xié)議(RDP)或遠(yuǎn)程管理軟件。有時(shí)候，攻擊者還會(huì)利用系統(tǒng)中未修補(bǔ)的漏洞。

目前，很多網(wǎng)絡(luò)罪犯團(tuán)伙已選擇將精力投入到勒索軟件及從受害者獲取勒索贖金上，而把釣魚郵件的發(fā)送外包給初始訪問代理。一旦初始訪問代理獲取到受害者訪問權(quán)限，網(wǎng)絡(luò)罪犯團(tuán)伙將接管該權(quán)限，安裝勒索軟件并賺取贖金。

2. 商業(yè)郵件入侵變多

隨著各組織轉(zhuǎn)向 Office 365 等基于云的電子郵件產(chǎn)品，黑客更容易獲得企業(yè)憑證，這反而使企業(yè)面臨更大的金融風(fēng)險(xiǎn)。商業(yè)電子郵件入侵 (BEC) 的門檻非常低，只需要一個(gè)免費(fèi)的電子郵件帳戶和搜索引擎。

與此同時(shí)，商業(yè)電子郵件入侵攻擊是極其有利可圖，是從勒索軟件攻擊中獲利的四倍有余。菜鳥級的BEC攻擊通常通過社工的方式將禮品卡貨幣化，黑客冒充公司高管指示員工為當(dāng)?shù)仞B(yǎng)老院購買禮品卡，以此作為慈善事業(yè)。

3. 品牌假冒和濫用

《財(cái)富》100強(qiáng)公司和其他組織經(jīng)常受到假冒營銷活動(dòng)的影響，黑客仿制該品牌的營銷材料，讓受害者點(diǎn)擊釣魚郵件。比如黑客假扮稅務(wù)局，引導(dǎo)收件人點(diǎn)擊鏈接，以了解其納稅申報(bào)單狀況。

4. 自動(dòng)電子郵件警報(bào)模板泄露

公司內(nèi)部自動(dòng)電子郵件警報(bào)模板的泄露，對于希望發(fā)起網(wǎng)絡(luò)釣魚攻擊的攻擊者來說簡直是如獲至寶，因?yàn)槭占藢﹄娮余]件警報(bào)有隱性的信任感。這種信任通常被放大，因?yàn)樘貦?quán)管理員通常是公司組織中唯一知道這封電子郵件的人。

5. 針對小公司的針對性活動(dòng)

攻擊者越來越多地使用具有高度針對性的勒索軟件，釣魚郵件攻擊那些以前只接收普通垃圾郵件的小公司。攻擊者喜歡研究小型企業(yè)的員工及其服務(wù)職能，并制作一封電子郵件，讓他們點(diǎn)擊鏈接或打開附件。大型企業(yè)通常具有抵御勒索的架構(gòu)和數(shù)據(jù)備份，而小型組織通常沒有架構(gòu)和數(shù)據(jù)備份來抵御勒索軟件團(tuán)伙的要求。

6. 策反心懷不滿的員工竊取憑據(jù)

黑客越來越多地策反對企業(yè)心懷不滿的員工，讓他們分享自己的憑據(jù)以換取攻擊獲得的部分收益。員工通常在上班的第一天就可以自由訪問公司的IT系統(tǒng)，這意味著外部人員也可以利用這種訪問權(quán)限。企業(yè)應(yīng)該了解，如果心懷不滿的員工與攻擊者分享了自己的雙因素身份驗(yàn)證，將會(huì)產(chǎn)生什么樣的后果。

7. 社工“性勒索”

越來越多的攻擊者接近用戶，聲稱在受害者的個(gè)人電腦或移動(dòng)設(shè)備上安裝了惡意軟件或木馬，記錄了他們觀看“不雅內(nèi)容”的過程。盡管黑客們從未在受害者的電腦上安裝過木馬程序，但他們會(huì)威脅說，除非給他們錢，否則他們就會(huì)發(fā)布犯罪視頻。

8. 詐騙短信

攻擊者越來越擅長通過設(shè)置網(wǎng)關(guān)來發(fā)送詐騙短信，這比設(shè)置電子郵件服務(wù)器稍微復(fù)雜一點(diǎn)。人們已經(jīng)習(xí)慣于不點(diǎn)擊可疑電子郵件，但對釣魚短信的防范意識(shí)還是沒能深入人心。

9. 冒充公司內(nèi)部人員和高管

攻擊者非常擅長將內(nèi)幕信息混入網(wǎng)絡(luò)釣魚郵件中，通過在郵件信息中假裝是公司CEO來引誘員工，要求與他們聯(lián)系。用戶要避免立即回復(fù)那些看起來有問題的短信和郵件，尤其是當(dāng)居家辦公的時(shí)候。

10. 惡意短信側(cè)門攻擊

消費(fèi)者并不熟悉如何在短信中識(shí)別釣魚行為，詐騙者利用這一盲點(diǎn)對消費(fèi)者進(jìn)行“短信詐騙”。銀行、電信和包裹往往是短信釣魚的常見類別，F(xiàn)luBot惡意軟件的黑客催促潛在目標(biāo)點(diǎn)擊鏈接來跟蹤貨物。該鏈接將毫無防備的受害者重定向到一個(gè)登錄頁面，F(xiàn)luBot惡意軟件黑客在該頁面顯示自己是一家當(dāng)?shù)氐目爝f公司。FluBot每周發(fā)送約1萬條信息，受害者最終會(huì)下載該惡意軟件。

網(wǎng)絡(luò)釣魚攻擊的常見危險(xiǎn)信號

以下是如何識(shí)別網(wǎng)絡(luò)釣魚電子郵件的提示：

• 電子郵件不是針對您的個(gè)人地址。當(dāng)你在公司中時(shí)，發(fā)件人應(yīng)該知道您是誰，并且通常會(huì)發(fā)送給個(gè)人地址而非群發(fā)。
• 語法和拼寫錯(cuò)誤：隨著網(wǎng)絡(luò)釣魚郵件的改進(jìn)，請務(wù)必多讀兩遍，因?yàn)殄e(cuò)誤可能更難發(fā)現(xiàn)。
• 該電子郵件來自您從未與之交流過的公司。
• “一個(gè)需要緊急撥打的電話”、“點(diǎn)擊鏈接”、“登錄查看交易”等等類似的情況。
• 電子郵件地址：將鼠標(biāo)懸停在電子郵件地址上，然后檢查發(fā)件人的真實(shí)地址和發(fā)件人的域名。
• 帶有附件的電子郵件，比如聲稱是某種類型的票據(jù)或通知。

在不確定電子郵件是真是假的情況下，建議直接通過瀏覽器訪問“發(fā)件人”官網(wǎng)，登錄您的帳戶并查找所有相關(guān)的信息。任何重要的信息都會(huì)出現(xiàn)在帳戶消息或收件箱中，如果需要，請聯(lián)系公司并驗(yàn)證請求。

參考鏈接：

• https://www.welivesecurity.com/2021/10/13/phishing-how-be-one-got-away/
• https://www.crn.com/slide-shows/security/10-dangerous-phishing-attack-trends-to-know-about-in-2021/11

防范釣魚的其他建議：https://www.freebuf.com/articles/others-articles/174617.html