众所周知,攻击者会仔细研究公司的网站和社交渠道。也许他们发现提到了即将举行的慈善活动。谁经营慈善事业?他们的电子邮件签名是什么样的?慈善机构标志的颜色和尺寸是什么?
这种信息对攻击者来说是无价的。从那里,攻击者可以制作有针对性的消息。他们也可能会打电话跟进。即使目标已经被警告过可能存在诈骗,他们也可能会点击他们不应该点击的东西。
根据今年的 IBM Security X-Force威胁情报指数,网络钓鱼仍是威胁行为者访问受害者网络的最常见方式。X-Force 去年的攻击中,约有 41% 涉及这种策略。
这一数字高于 2020 年的 33%,涵盖了所有类型的网络钓鱼,包括群发电子邮件和高度针对性的电子邮件。世界上一些最先进的网络威胁参与者使用网络钓鱼来传递勒索软件、恶意软件、远程访问木马或恶意链接。
网络钓鱼是第一位的,原因很简单。
“因为它有效!”,IBM Security X-Force Red 的全球社会工程专家 Stephanie Carruthers 如是说。网络钓鱼攻击越来越复杂,不良行为者变得更有组织、更有创新性和更聪明地定位目标。Carruthers 在红队攻击模拟中为 IBM 客户使用情报收集技巧和策略。
喜欢这些模拟的人比你想象的要多。近五分之一的人点击了来自 X-Force Red 的有针对性的网络钓鱼活动。当攻击使用后续电话时,二分之一的人会成为这个伎俩的牺牲品。
尽管几十年的安全进步,网络钓鱼自 1990 年代以来一直存在。但这并不是因为人们容易上当受骗,IBM X-Force Cyber Range 技术团队经理 Camille Singleton 说。
以下四个原因说明了网络钓鱼仍然是一个严重威胁的原因:
- 远程工作为攻击者提供了机会。在远程和混合工作时代,公司严重依赖电子邮件,Carruthers 表示,攻击者正在发送更多电子邮件以利用这种动态。同时,更少的饮水机聊天意味着员工随意警告对方收件箱中的可疑电子邮件的机会更少。
- 网络犯罪分子正在磨砺他们的工具。心理操纵技术提高了网络钓鱼攻击的成功率。这些策略可以简单到通过电话或短信跟踪网络钓鱼电子邮件。当 Carruthers 和她的团队在他们的模拟目标网络钓鱼电子邮件中添加后续语音呼叫时,点击率上升到了惊人的53.2%。这个数字比仅通过目标电子邮件实现的 17.8% 的点击率高出三倍。在模拟攻击期间,Carruthers 说:“人们甚至对我说,‘我认为你发送的电子邮件看起来很可疑,但非常感谢你给我打电话。’ 人们不会质疑友好的声音。”
- 黑市组织越来越专业。威胁者不再需要一套专门的技术技能,因为黑市已经发展到满足需求。网络犯罪分子可以简单地在暗网上购买一个带有求助热线帮助的网络钓鱼指令工具包。“当你想到暗网时,你会认为这些犯罪分子是阴暗的或无组织的,”Carruthers 说。“但有些人几乎像专业企业一样运作。”
- 安全培训不够创新。Carruthers 说,随着电子邮件诈骗策略越来越先进,安全培训并没有跟上变化的步伐。许多公司每年都会对员工进行安全培训,并希望时间表能够提供保护。“在那个领域并没有太多的创新,”她说。“你可以给电脑打补丁,你可以给服务器打补丁——但你不能给一个人打补丁。”
阻止网络钓鱼电子邮件,建立更强大的网络
网络钓鱼电子邮件只是网络攻击的起点。一旦进入,威胁参与者就会部署下一阶段的攻击,例如勒索软件或数据盗窃。根据数据泄露报告的成本,由网络钓鱼诈骗引起的数据泄露平均给公司造成 465 万美元的损失。
不幸的是,没有一种工具或解决方案可以阻止所有网络钓鱼攻击。
IBM Security X-Force 高级网络威胁情报战略分析师 Charles DeBeck 表示:“网络钓鱼提出了人类和技术挑战的真正有趣的交叉点。这就是让防御变得如此具有挑战性的原因。”
IBM Security X-Force 建议采用分层方法,从过滤恶意消息的安全解决方案开始。零信任安全解决方案通过不断验证用户的身份并最大限度地减少可以访问有价值数据资产的人数,防止攻击者深入系统。多因素身份验证等技术有助于此验证。
拥有成熟的零信任策略可以在发生违规事件时节省资金。根据数据泄露成本报告,采用这种策略的组织平均比不使用零信任的组织少花费 176 万美元。
攻击者变得老练;他们学习过滤器和所有技术的方法,因此继续测试它们以确保得到调整非常重要。
最后,包含真实示例的员工培训计划至关重要。根据 Carruthers 的经验,员工越了解攻击者可能造成的损害,就越有可能识别和报告威胁。
Carruthers 从她的一位客户那里介绍了这个智能解决方案:每次员工收到网络钓鱼电子邮件时,公司都会对其进行截图,并分解员工应该发现的所有危险信号,她认为训练有素且保持警惕的员工可以挫败许多网络钓鱼计划,包括她自己的演练计划。