F5 Networks发布2018年网络钓鱼和欺诈报告 网络钓鱼在节假日期间达到峰值

近日，F5发布了《2018年网络钓鱼和欺诈报告：节假日期为攻击峰值》，并指出，2018年10月，11月和12月的欺诈事件相比往年攀升了超过50％；网络钓鱼仍然是首选渠道，钓鱼者通过盗取登录认证和信用卡号码等私密信息而实现犯罪。

该项研究采纳了多样化数据来源，针对从10月开始的节假日网络钓鱼和欺诈高峰现象，专门进行调研分析。其中包括：本年网络钓鱼欺诈趋势，遭冒充身份的顶级公司以及企业和消费者如何防范网络钓鱼以及其他欺诈行为。

在即将来临的节假日，不只是购物、聚餐的高峰季，更是网络钓鱼诈骗的高峰季。与此同时，钓鱼者的诈骗策略也在更新换代。曾经的骗局是一封要求上传银行凭据来获取遗产的电子邮件；现今的网络钓鱼者则变得更加狡猾精明，演绎出盗用身份来欺骗大众情感的手段，企图以此更轻易地骗取钱财。

在报告中，对于网络钓鱼的手段、目标，以及应对方式，进行了总结。

• 惯用诱饵作为安全意识培训的重点——当下成功率最高的诱饵是利用人们的贪婪，关注，紧迫和恐惧等情绪，促使他们打开电子邮件并点击固定内容。
  
  
• 盗用身份是主要手法——从2018年9月1日到10月31日，71％的虚假钓鱼案例均是伪装成10家顶级科技行业公司，从而获得受害者的信任并实现欺诈。
  
  
• 金融机构是节日钓鱼季诈骗中的重点攻击对象——但同时，F5预计未来针对电子商务和物流行业的诈骗比重将会持续上升。
  
  
• 加强安全意识培训，对于保护企业和个人免受网络钓鱼而言至关重要——通过培训员工辨别网络钓鱼骗局，企业能有效地将恶意电子邮件，链接和附件的点击率从33％降低到13％。
  
  
• 控制出现在员工邮箱的钓鱼电子邮件，是防御途径之一——当然，即便设置Web过滤，防病毒软件和设置多重身份验证控制后，员工仍有机会成为网络钓鱼攻击受害者。

网络钓鱼的技术和手段，从原理上说并不新鲜：通过一个心理诱饵，步步引导受害者，误以为该虚假网络程序和应用是真实可信的。网络钓鱼者通常会按照如下三个步骤，来设置网络钓鱼骗局：

1. 目标选择：即寻找合适的受害者，特别要透过电子邮件地址和背景信息，总结出一个具有吸引力的心理痛点。
   
   
2. 社交机制：布置恰当的诈骗诱饵，诱使受害者掉入陷阱，以窃取他们的账户并植入恶意软件。在鱼叉式网络的钓鱼案例中，这种诱饵是针对目标受害者而定制的。每当年终岁尾，网络钓鱼者会利用年终和节假日的各类活动包装出伪装外衣。
   
   
3. 技术工程：钓鱼者躲避开安全程序的扫描，以构建虚假网站，制作恶意软件等技术性方法开展诈骗。

F5对于消费者及企业的建议

消费者有必要认识到，URL欺骗正是网络钓鱼的常用方法，任何电子邮件地址都带有伪造性或欺骗性的可能性。

消费者注意事项：

1. 减少URLS应用：尽量减少在如bit.ly这类服务网址上的浏览时间，因为他们都可以是恶性的。用户应该打开新的浏览器选项卡，并搜索涉及到的有关内容或网站。
   
   
2. 重视安全证书警告：警告会显示在用户浏览器，以提示当前登录网站的安全证书无效，或尚未由受信任的机构颁发证书。如果用户认为该网站合法，不该忽略警告，应另在单独的浏览器窗口中搜索该网站。
   
   
3. 认真检查网址：伪造的网络钓鱼网站往往精心制作，伪装出充分的合法性。因此，在提供登录认证或帐户等任何个人信息之前，用户应养成认真检查地址栏中网址的习惯。

企业注意事项：

随着网络钓鱼变得愈加复杂和精明，安全意识培训对于保护企业和员工免受依托技术的网络钓鱼诈骗变得至关重要。其中，包括电子邮件标签，防病毒（AV）软件，Web过滤和多因素身份验证等诸多方面的措施。

目前，尚没有针对网络钓鱼的一站式安全把控体系。现有降低公司业务风险的方法，就是构建出一个涵盖员工，流程，技术的综合可控安全架构。