近日，F(xiàn)5發(fā)布了《2018年網(wǎng)絡(luò)釣魚和欺詐報(bào)告：節(jié)假日期為攻擊峰值》，并指出，2018年10月，11月和12月的欺詐事件相比往年攀升了超過(guò)50%;網(wǎng)絡(luò)釣魚仍然是首選渠道，釣魚者通過(guò)盜取登錄認(rèn)證和信用卡號(hào)碼等私密信息而實(shí)現(xiàn)犯罪。

　　該項(xiàng)研究采納了多樣化數(shù)據(jù)來(lái)源，針對(duì)從10月開始的節(jié)假日網(wǎng)絡(luò)釣魚和欺詐高峰現(xiàn)象，專門進(jìn)行調(diào)研分析。其中包括：本年網(wǎng)絡(luò)釣魚欺詐趨勢(shì)，遭冒充身份的頂級(jí)公司以及企業(yè)和消費(fèi)者如何防范網(wǎng)絡(luò)釣魚以及其他欺詐行為。

　　在即將來(lái)臨的節(jié)假日，不只是購(gòu)物、聚餐的高峰季，更是網(wǎng)絡(luò)釣魚詐騙的高峰季。與此同時(shí)，釣魚者的詐騙策略也在更新?lián)Q代。曾經(jīng)的騙局是一封要求上傳銀行憑據(jù)來(lái)獲取遺產(chǎn)的電子郵件;現(xiàn)今的網(wǎng)絡(luò)釣魚者則變得更加狡猾精明，演繹出盜用身份來(lái)欺騙大眾情感的手段，企圖以此更輕易地騙取錢財(cái)。

　　在報(bào)告中，對(duì)于網(wǎng)絡(luò)釣魚的手段、目標(biāo)，以及應(yīng)對(duì)方式，進(jìn)行了總結(jié)。

　　· 慣用誘餌作為安全意識(shí)培訓(xùn)的重點(diǎn)——當(dāng)下成功率最高的誘餌是利用人們的貪婪，關(guān)注，緊迫和恐懼等情緒，促使他們打開電子郵件并點(diǎn)擊固定內(nèi)容。

　　· 盜用身份是主要手法——從2018年9月1日到10月31日，71%的虛假釣魚案例均是偽裝成10家頂級(jí)科技行業(yè)公司，從而獲得受害者的信任并實(shí)現(xiàn)欺詐。

　　· 金融機(jī)構(gòu)是節(jié)日釣魚季詐騙中的重點(diǎn)攻擊對(duì)象——但同時(shí)，F(xiàn)5預(yù)計(jì)未來(lái)針對(duì)電子商務(wù)和物流行業(yè)的詐騙比重將會(huì)持續(xù)上升。

　　· 加強(qiáng)安全意識(shí)培訓(xùn)，對(duì)于保護(hù)企業(yè)和個(gè)人免受網(wǎng)絡(luò)釣魚而言至關(guān)重要——通過(guò)培訓(xùn)員工辨別網(wǎng)絡(luò)釣魚騙局，企業(yè)能有效地將惡意電子郵件，鏈接和附件的點(diǎn)擊率從33%降低到13%。

　　· 控制出現(xiàn)在員工郵箱的釣魚電子郵件，是防御途徑之一——當(dāng)然，即便設(shè)置Web過(guò)濾，防病毒軟件和設(shè)置多重身份驗(yàn)證控制后，員工仍有機(jī)會(huì)成為網(wǎng)絡(luò)釣魚攻擊受害者。

　　網(wǎng)絡(luò)釣魚的技術(shù)和手段，從原理上說(shuō)并不新鮮：通過(guò)一個(gè)心理誘餌，步步引導(dǎo)受害者，誤以為該虛假網(wǎng)絡(luò)程序和應(yīng)用是真實(shí)可信的。網(wǎng)絡(luò)釣魚者通常會(huì)按照如下三個(gè)步驟，來(lái)設(shè)置網(wǎng)絡(luò)釣魚騙局：

　　1. 目標(biāo)選擇：即尋找合適的受害者，特別要透過(guò)電子郵件地址和背景信息，總結(jié)出一個(gè)具有吸引力的心理痛點(diǎn)。

　　2. 社交機(jī)制：布置恰當(dāng)?shù)脑p騙誘餌，誘使受害者掉入陷阱，以竊取他們的賬戶并植入惡意軟件。在魚叉式網(wǎng)絡(luò)的釣魚案例中，這種誘餌是針對(duì)目標(biāo)受害者而定制的。每當(dāng)年終歲尾，網(wǎng)絡(luò)釣魚者會(huì)利用年終和節(jié)假日的各類活動(dòng)包裝出偽裝外衣。

　　3. 技術(shù)工程：釣魚者躲避開安全程序的掃描，以構(gòu)建虛假網(wǎng)站，制作惡意軟件等技術(shù)性方法開展詐騙。

　　F5對(duì)于消費(fèi)者及企業(yè)的建議

　　消費(fèi)者有必要認(rèn)識(shí)到，URL欺騙正是網(wǎng)絡(luò)釣魚的常用方法，任何電子郵件地址都帶有偽造性或欺騙性的可能性。

　　消費(fèi)者注意事項(xiàng)：

　　1. 減少URLS應(yīng)用：盡量減少在如bit.ly這類服務(wù)網(wǎng)址上的瀏覽時(shí)間，因?yàn)樗麄兌伎梢允菒盒缘摹Ｓ脩魬?yīng)該打開新的瀏覽器選項(xiàng)卡，并搜索涉及到的有關(guān)內(nèi)容或網(wǎng)站。

　　2. 重視安全證書警告：警告會(huì)顯示在用戶瀏覽器，以提示當(dāng)前登錄網(wǎng)站的安全證書無(wú)效，或尚未由受信任的機(jī)構(gòu)頒發(fā)證書。如果用戶認(rèn)為該網(wǎng)站合法，不該忽略警告，應(yīng)另在單獨(dú)的瀏覽器窗口中搜索該網(wǎng)站。

　　3. 認(rèn)真檢查網(wǎng)址：偽造的網(wǎng)絡(luò)釣魚網(wǎng)站往往精心制作，偽裝出充分的合法性。因此，在提供登錄認(rèn)證或帳戶等任何個(gè)人信息之前，用戶應(yīng)養(yǎng)成認(rèn)真檢查地址欄中網(wǎng)址的習(xí)慣。

　　企業(yè)注意事項(xiàng)：

　　隨著網(wǎng)絡(luò)釣魚變得愈加復(fù)雜和精明，安全意識(shí)培訓(xùn)對(duì)于保護(hù)企業(yè)和員工免受依托技術(shù)的網(wǎng)絡(luò)釣魚詐騙變得至關(guān)重要。其中，包括電子郵件標(biāo)簽，防病毒(AV)軟件，Web過(guò)濾和多因素身份驗(yàn)證等諸多方面的措施。

　　目前，尚沒有針對(duì)網(wǎng)絡(luò)釣魚的一站式安全把控體系。現(xiàn)有降低公司業(yè)務(wù)風(fēng)險(xiǎn)的方法，就是構(gòu)建出一個(gè)涵蓋員工，流程，技術(shù)的綜合可控安全架構(gòu)。

　　如想了解更多信息，請(qǐng)閱讀完整報(bào)告進(jìn)一步發(fā)現(xiàn)當(dāng)前的核心威脅，詳細(xì)了解網(wǎng)絡(luò)釣魚的細(xì)節(jié)，并大量吸收建議，來(lái)保護(hù)企業(yè)免遭網(wǎng)絡(luò)釣魚的侵害。