作為一名報道網(wǎng)絡(luò)安全的記者,危險之一在于黑客們每天都會往我的郵箱里發(fā)送釣魚郵件。
如果你不信,可以問問《財富》的母公司時代的安全團隊。
事實上,任何網(wǎng)友都可能成為黑客、間諜和網(wǎng)絡(luò)罪犯的目標。你可能認為自己并不是什么特別的人,但是互聯(lián)網(wǎng)有趣的一點在于即便你很無趣(當(dāng)然,考慮到你是《財富》的讀者,你一定不會無趣),黑客仍然可能會攻擊你,可能是為了直接牟利,也可能是把你作為攻擊其他人的墊腳石。
考慮到釣魚的低成本和高成功率,無論是最低級的個人黑客,還是最可怕的由政府支持的計算機破解者,它無疑都是最受青睞的手段之一。近來最著名的釣魚攻擊,也許就是俄羅斯支持的入侵者進入了希拉里·克林頓競選活動的前主席約翰·波德斯達的郵箱,將其內(nèi)容公布在網(wǎng)上。去年,黑客在美國大選期間入侵了許多國家和地方的選舉數(shù)據(jù)庫。最近幾周,另一波針對核電廠業(yè)務(wù)系統(tǒng)的攻擊又得到了曝光。
這些只是近日里關(guān)注度最高的釣魚事件??紤]到威脅無處不在,人們最好還是重溫一下攻擊者慣用的誘餌伎倆。在最近的一份研究中,為企業(yè)員工提供網(wǎng)絡(luò)安全意識培訓(xùn)的KnowBe4公司總結(jié)了釣魚成功率最高的手段。
2017年4月1日至6月30日期間,KnowBe4通過發(fā)送欺詐郵件,進行了一項在線自由釣魚測試,看看到底有多少客戶上當(dāng)。公司給200多萬用戶發(fā)送了大約660萬封虛假郵件。以下是十條成功率最高的郵件,一共成功欺騙了22,060人,這些人點擊了信息中的鏈接。(受害者總數(shù)要多得多,這里只是被前十名郵件欺騙的人數(shù)。)
最成功的釣魚郵件
按主題排序
安全警告
21%
休假/病假政策調(diào)整
14%
UPS快遞單號:1ZBE312TNY00015011
10%
突發(fā)新聞:美聯(lián)航乘客死于腦出血——視頻
10%
已嘗試為您投遞包裹
10%
致所有員工:請更新醫(yī)療信息
9%
請立刻更改密碼
8%
請立刻驗證密碼
7%
異常登錄行為警告
6%
必須立刻采取行動
6%
以上數(shù)據(jù)取自欺騙了22,060人的釣魚郵件(2017年第二季度)
從數(shù)據(jù)中,你可以發(fā)現(xiàn)最具有欺騙性的消息。“安全警告”遙遙領(lǐng)先,有超過4,600人上當(dāng)。其他有關(guān)安全的釣魚郵件,例如密碼保護和異常賬戶行為,也有很高的成功率。其他效果突出的伎倆還包括快遞相關(guān)的通知,工作相關(guān)的信息以及新聞。
KnowBe4表示,平均來看,打開釣魚郵件的用戶里有16%會點擊附帶鏈接。在真正的攻擊情景中,這些都是惡意鏈接,可能會導(dǎo)致登陸信息遭竊,或是系統(tǒng)被強制安裝惡意軟件。而KnowBe4這次測試附帶的鏈接是無害的。
KnowBe4的首席執(zhí)行官Stu Sjouwerman在接受《財富》采訪時表示,攻擊者往往會選擇公司員工作為目標,因為他們認為“在他們設(shè)法進入企業(yè)內(nèi)網(wǎng)時,企業(yè)員工最容易讓他們得手”。
他表示:“攻擊媒介里,排名第一的就是電子郵件,所以用戶需要接受培訓(xùn),不要點擊郵件中的鏈接,也絕對不要打開未經(jīng)請求或核實的附件。”(值得一提的是,KnowBe4有44%的攻擊都與LinkedIn消息有關(guān),人們往往會把工作郵箱的地址與LinkedIn關(guān)聯(lián)。)
以上并不是釣魚郵件的完整清單,只是KnowBe4設(shè)計并測試的部分主題。網(wǎng)絡(luò)罪犯十分狡猾,他們能想出無數(shù)種花樣引你上鉤。
知道人們在哪些情況下最容易受騙,可以幫助你避開那些最危險的騙局。(財富中文網(wǎng))