官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

第三季度网络钓鱼攻击增加了31%以上

2022-11-04 16:11:05

所属地上海

网络安全公司Vade报告称，仅在第三季度，攻击者就发送了超过2.039亿封电子邮件，高于上一季度的1.553亿封。

电子邮件安全和威胁检测公司Vade发现，今年第三季度的网络钓鱼邮件环比增长超过31%，前三个季度包含恶意软件的电子邮件数量比2021年高出5580万封。

与2021年同期相比，仅2022年第三季度的恶意软件电子邮件就增加了217%。恶意软件邮件数量在7月达到顶峰，达到1920万封，然后在8月和9月环比下降，数字分别降至1680万和1650万。

根据该报告，电子邮件是网络钓鱼和恶意软件的首选攻击媒介，它为黑客提供了直接接触攻击目标的渠道，这是组织攻击面中最薄弱的环节。

随着攻击变得越来越复杂，它们也越来越能够逃避电子邮件提供商提供的基础安全保障，根据Vade的研究，近十分之八的企业仍然依赖这种基础安全。

虽然攻击者的活动波动很大，但Vade的研究发现，冒充受信任和成熟的品牌仍然是黑客最受欢迎的策略。

金融服务行业仍然是被冒充最多的行业，占Vade检测到的网络钓鱼邮件的32%，其次是云，占25%，社交媒体占22%，互联网/电信占13%。

网络钓鱼攻击变得越来越有针对性

随着网络钓鱼攻击的增加，攻击者使用的技术也在不断发展。虽然网络钓鱼活动传统上是大规模和随机的，但最近的迹象表明，黑客已经转向更有针对性的目标攻击活动。

例如，报告中强调了2022年7月观察到的一次攻击，其中一封网络钓鱼邮件冒充 Instagram以利用社交媒体平台的验证程序。攻击者发送给受害者的邮件显示了他们的实际用户名，表明黑客在每次攻击之前都花时间研究和侦察他们的目标。

报告中提到的另一种令人担忧的现象是黑客将合法服务武器化，以传输和隐藏其网络钓鱼攻击。例如，在9月份检测到一个利用法国职业网站Pôle Emploi的活动，使用它向寻找求职者的公司分发网络钓鱼链接。

“在攻击中，黑客申请招聘启事并上传包含恶意链接的PDF简历，提交后，平台会生成一封包含恶意PDF的电子邮件，并自动发送给招聘公司进行审查。”

这是一种新的攻击策略，将来可能会变得更加普遍，因为它节省了黑客设计冒充组织邮件的时间和精力。它还通过降低受害者对恶意攻击的怀疑来增加成功攻击的可能性。

提升员工防范意识但不依赖于此

虽然为员工提供有关网络钓鱼邮件危险性的培训无疑是有益的，但NCSC网站上的一篇博客文章表示，回复电子邮件和点击链接是工作的一个组成部分，因此试图停止点击的习惯是非常困难的。

“要求用户停止并深入考虑每一封电子邮件，并不会让他们一天中有足够的时间来工作。”该帖子写道。

对于员工众多的企业来说，每一个员工都是不确定性的来源，都可能成为攻击者研究并标记的对象。钓鱼邮件预防培训可以提升员工的警惕性，在一定程度上降低企业受攻击的几率，但企业真正需要依赖的还是严密周全的自身防御体系，其是否能有效抵御恶意攻击，是企业需要随时能精确掌握的信息。

塞讯安全度量验证平台能够模拟包含恶意链接或恶意附件的钓鱼邮件等一系列网络欺诈攻击行为，为企业提供安全有效的防御体系效果验证服务，通过可视化报告帮助企业明确防御体系的短板并做出相应的调整和准备，降低安全团队处理钓鱼邮件所花费的成本。

您可以在塞讯安全度量验证平台中轻松选择那些包含恶意链接或恶意附件的钓鱼邮件的验证实验，指定AI攻防机器人发送这些邮件给企业邮件系统中指定的邮件地址，用于验证您企业的邮件安全产品是否有能力检测出这些钓鱼邮件并将其隔离或删除。

| 参考来源：