分析最新的APWG网络钓鱼活动趋势报告：主要发现和见解

投诉和测试表明，某些著名的电子邮件提供商正在阻止用户转发他们怀疑可能是网络钓鱼企图的电子邮件。这可能会使结果出现偏差，因为真实的网络钓鱼活动可能比数字显示的要高，这突出表明需要更好、更方便的报告机制。

反钓鱼网站工作组 (APWG) 发布的《2024年第二季度网络钓鱼活动趋势报告》揭示了这一点。该报告对网络钓鱼攻击和身份盗用方法进行了全面分析，深入揭示了恶意攻击者不断演变的策略，包括网络钓鱼计划、商业电子邮件泄密 (BEC) 和其他形式的在线欺诈。

该报告基于从其成员公司、全球研究合作伙伴处收集的数据，以及通过其网站和电子邮件提交的直接报告。这种广泛的数据收集提供了当前网络钓鱼形势的详细视图，捕捉到了网络犯罪分子使用的社会工程和技术潜伏策略。这些数据通过APWG eCrime eXchange (eCX) 进行处理，以跟踪独特的网络钓鱼网站、电子邮件主题和目标品牌。

报告还强调了向电话网络钓鱼方法的转变，包括语音网络钓鱼（vishing）和短信网络钓鱼（smishing）。越来越多的银行和在线支付服务客户成为这些欺诈行为的目标。传统的电子邮件网络钓鱼依靠欺骗性信息引诱受害者，而网络钓鱼和短信网络钓鱼则不同，它们涉及与潜在受害者的直接交流。

网络钓鱼通常是通过电话，由恶意行为者伪装成可信组织的人员来获取敏感信息，而网络钓鱼则是发送包含恶意链接或要求提供个人信息的虚假短信。这种直接方法允许攻击者与受害者实时接触，使这些方法更有效地绕过传统的电子邮件安全过滤器并获取敏感信息。随着这些策略变得越来越普遍，组织和个人需要保持警惕，并采取全面的安全措施来防范这些日益复杂的威胁。

另一个令人担忧的趋势是社交媒体平台成为攻击目标。这些平台仍然是最常受到攻击的领域，占所有网络钓鱼攻击的32.9%。这一数字之高说明了社交媒体网站一直很容易受到网络钓鱼的攻击，因为网络钓鱼利用了社交媒体的广泛性和个人特性。由于社交媒体账户的广泛使用及其所蕴藏的个人信息宝库，它们也是网络钓鱼者的目标。

相比之下，针对金融服务实体的网络钓鱼攻击从2023年第三季度的24.9%和2023年第四季度的14%降至2024年第二季度攻击总量的10%。针对在线支付服务（如PayPal、Venmo、Stripe和类似公司）的攻击保持稳定，占所有攻击的7.5%。

攻击下降的部分原因是金融公司实施了双因素身份验证（2FA）等强化安全措施，大大降低了传统网络钓鱼的成功率。随着银行和支付服务加强防御，不良分子将重点转向安全措施不那么严格的部门。这表明，所有部门持续保持警惕和采取强有力的安全措施至关重要。

跟踪BEC攻击的重要机构Fortra报告称，2024年第二季度，电汇BEC攻击请求的平均金额从2024年第一季度的84059美元增至89520美元。

尽管请求的平均金额有所增加，但BEC攻击的数量却比上一季度下降了8.4%。这表明，虽然个别攻击的目标金额可能更高，但这些攻击的总体频率有所下降。

该公司的分析还显示，礼品卡欺诈是最流行的欺诈类型，占所有攻击的38.1%。此外，预付费欺诈占26.1%，而工资转移也依然流行，在Fortra的跟踪中占7.6%。混合式网络钓鱼在2023年之前甚至还未出现在人们的视线中，但在跟踪的案件中却占到了4.9%。这些混合式诈骗通常涉及电子邮件信息，提示收件人拨打电话号码解决问题或要求退款。

有趣的是，在工资转移方面，35%的尝试涉及将工资转入Green Dot账户，GoBank也是热门选择。这表明这些金融机构的审查流程存在漏洞，可能会影响其对 “了解你的客户”（KYC）法规的遵守。

Fortra还发现，72%的BEC攻击使用了免费网络邮件域名，其中谷歌Gmail最受欢迎，有72.4% 的攻击使用了该域名。免费网络邮件服务的高使用率凸显了这些平台的漏洞，因为骗子经常利用这些平台进行诈骗。

微软的网络邮件服务在BEC攻击中占16.3%，与Gmail相比所占比例较小，但也很重要。

随着网络钓鱼技术的不断发展和日益复杂，组织和个人都必须保持警惕。这意味着要随时了解网络犯罪分子使用的最新策略，并不断更新和加强安全措施，以有效打击这一祸患。

定期对员工进行培训、实施多因素身份验证和利用先进的网络安全工具等积极主动的措施有助于确保防御措施足够强大，能够跟上网络钓鱼攻击的动态发展。

来源安全客，如有侵权请联系删除。