网络钓鱼为何屡禁不止？

ZDNet安全频道原创翻译 转载请注明作者以及出处

　　Intrepidus Group 近日通过 PhishMe.com 对网络钓鱼问题进行了调查。该调查涉及32个网络钓鱼场景，参与调查的企业员工遍及全球各个公司，达6.9万人。调查结果显现出一些有趣的现象：

　　· 全球23%的电脑用户面对网络钓鱼攻击显得相当脆弱。

　　· 模仿官方网站的网络钓鱼方式成功率要比通过礼品诱惑用户的网络钓鱼方式成功率高四成。

　　· 男性和女性遭受网络钓鱼攻击的可能性相同

　　· 平均60% 的企业员工在收到网络钓鱼邮件后会在三小时内点击邮件中的链接。

　　· 人们需要填写敏感信息时要比直接点击邮件中的链接更谨慎。

　　数据相当重要，但是在这类情况下，仅凭借数据往往是不够的，因为还有很多混合型的威胁没有计算在内。比如，去年我曾经密切关注了一起类似于混合Skype的网络钓鱼竞赛，其中网络罪犯(IkbMan)试图通过给访问者注入客户端漏洞的方式优化竞赛中自己一方的点击率，以防止访问者因为发觉网站蹊跷而停止输入个人资料并关闭浏览器。不过这种注入漏洞的动作只有在用户不输入任何内容并试图离开页面时才会启动。

　　· 有关网络钓鱼的趋势和策略的链接： 据调查：76% 的网络钓鱼网站位于受感染的服务器上; 微软的研究揭露网络钓鱼利润所在; 越来越多的网络钓鱼者相互欺骗; DIY 网络钓鱼包引入新功能; 网络钓鱼者实行质量保证，可以验证信用卡号码可用性; 缺乏网络钓鱼攻击数据的共享，导致每年损失3亿美元

　　考虑到Intrepidus Group研究中的一个关键点，即“人们在邮件中点击链接时的警惕性远低于在需要输入敏感信息时的警惕性”，一个网络钓鱼邮件可能会被人作为垃圾邮件，从而不会被允许送达员工的收件箱中(理想情况下)。而另一方面，与其用具体的数据衡量人们对网络钓鱼的安全意识有多少，还不如在风险人群的数量与潜在的混合威胁数量间进行衡量。

　　随着托管的致力于信息传递的本地服务被用于垃圾邮件，网络钓鱼以及恶意软件传播已经成为了事实，网络犯罪的生态系统将会快速达到一个新的级别，而不断出现的免费的自动化网络钓鱼工具又使得网络犯罪更加难以控制，这一切使得网络钓鱼的未来看上去一片光明。

　　而唯一可以超过这种增长的威胁是由更高效，更先进的以财务数据为目标使用犯罪软件针对每个网络银行网站所进行的钓鱼活动。