根據 ESET 威脅報告 D1 2022,電子郵件威脅在 2022 年前四個月增加了 37%。 網絡釣魚詐騙使用虛假電子郵件策略誘騙攻擊者安裝惡意軟件、竊取憑據並誘騙用戶進行公司轉賬。 詐騙者使用旨在使買家不假思索地採取行動的社會工程技術。
這些策略包括:
- 使用虛假髮件人 ID/域/電話號碼,有時使用拼寫錯誤或國際化域名 (IDN)
- 劫持的發件人帳戶幾乎不可能被檢測為網絡釣魚嘗試,
- 在線研究(通過社交媒體)使魚叉式網絡釣魚嘗試更加可信
- 官方標誌、頁眉、頁腳等。 利用,
- 創造一種緊迫感或興奮感,促使用戶做出倉促的決定。
- 隱藏發件人真實目的地的縮短鏈接,
- 合法的入口門戶、網站等。 創建。
根據最新的 Verizon DBIR 報告,去年的大多數安全事件有四種媒介:憑證、網絡釣魚、漏洞利用和殭屍網絡。 其中前兩個是關於人為錯誤的。 報告中審查的所有違規行為中有四分之一 (25%) 是社會工程攻擊的結果。 再加上人為錯誤和濫用特權,人為因素佔所有違規行為的 82%。
設備保護不佳的分心和在家工作的員工已成為威脅行為者的殘酷目標。 2020 年 18 月,谷歌聲稱每天在全球範圍內阻止多達 XNUMX 萬封惡意和網絡釣魚電子郵件。
隨著這些員工中的許多人返回辦公室,他們也有可能面臨更多的短信詐騙和基於語音呼叫的網絡釣魚攻擊。 忙碌的用戶可能更有可能點擊鏈接並打開他們不應該打開的其他文件。 這可能導致:
- 勒索軟件下載,
- 銀行木馬,
- 數據盜竊/違規,
- 加密惡意軟件,
- 殭屍網絡部署,
- 被黑帳戶用於後續攻擊,
- 商業電子郵件 (BEC) 的攔截導致由於欺詐性發票/付款請求而造成的金錢損失。
雖然數據洩露的平均成本超過 4,2 萬美元,這是當今的歷史新高,但一些勒索軟件洩露的成本是這一數字的幾倍。
ESET 土耳其產品和營銷經理 Can Erginkurban 強調培訓始終很重要,並表示:“應定期進行培訓,以防止對員工的攻擊。 網絡釣魚意識培訓應該只是對抗社會工程威脅的多層次戰略的一部分。 即使是訓練有素的人員有時也會成為複雜騙局的受害者。 這就是為什麼安全控制也很重要的原因。 如果您想保護您的組織免受網絡釣魚攻擊,您絕對應該通過培訓來支持您的員工。” 說。
成為第一個發表評論的人