《深信服:2023網絡釣魚趨勢分析報告(32頁).pdf》由會員分享,可在線閱讀,更多相關《深信服:2023網絡釣魚趨勢分析報告(32頁).pdf(32頁珍藏版)》請在三個皮匠報告上搜索。
1、2023網絡釣魚趨勢分析報告2023 PHISHING TREND ANALYSISREPORT千里目-深盾終端實驗室目錄概述摘要數字里的網絡釣魚2023,網絡釣魚事件數量持續攀升2023,網絡釣魚攻擊呈現季節波動特征2023,網絡釣魚攻擊行業分布集中2023,中小型企業面對網絡釣魚的挑戰更大2023,網絡釣魚攻擊渠道多樣2023,釣魚文件“術業有專攻”重點行業釣魚分析制造行業政府機構醫療行業教育行業金融行業2023年網絡釣魚的主要特點郵件依舊是傳播釣魚的主力案例一案例二利用即時通訊軟件釣魚即時通訊軟件釣魚案例二維碼釣魚的廣泛使用二維碼釣魚案例0101030304050607080909101
2、011111212121314141515商務郵件泄露導致經濟損失BEC釣魚案例雙/多因素認證的繞過雙/多因素認證的繞過釣魚案例GPT與網絡釣魚釣魚GPT的快速發展GPT與釣魚的攻與防2023典型釣魚案例分析網絡釣魚防御術面向大型單位內部防釣魚的建議深信服防釣魚安全能力全景預防提升安全意識,提高釣魚難度終端防御解決郵件、文件、網站、U盤釣魚問題邊界防御解決釣魚URL,釣魚反聯問題深信服防釣魚核心技術GPT賦能防釣魚總結與展望1616171819192021232425252626262728概述隨著互聯網的快速發展和廣泛應用,網絡釣魚活動帶來的安全隱患愈演愈烈。因應威脅發展,我們編撰了此份分析
3、報告,旨在全面了解其發展態勢,并提醒相關部門、企業和公眾加強防范。在本報告中,我們將詳細梳理網絡釣魚的近況,探討當前的防范策略和技術手段,并提出一些建議供參考。我們認為,要有效對抗網絡釣魚威脅,需要綜合采取加強技術防范、提高公眾安全意識、加強法律法規建設等多方面措施。只有通過全社會的共同努力,才能有效遏制網絡釣魚的蔓延,守護個人和企業的信息安全。本報告除明確注明來源以外,數據均來自深信服千里目安全技術中心深盾終端實驗室,目的僅為幫助客戶及時了解中國或其他地區網絡釣魚的最新動態和發展,僅供參考。本報告中所含內容乃一般性信息,不應被視為任何意義上的決策意見或依據,任何深信服科技股份有限公司的關聯機
4、構、附屬機構(統稱為“深信服股份”)并不因此構成提供任何專業建議或服務??焖僭鲩L的網絡釣魚數量根據 SlashNext 公司的報告顯示,2023 年網絡釣魚數量較 2022 年大幅增長。數據顯示,自 2022 年第四季度至 2023 年第三季度,網絡釣魚郵件數量增加了 1265%,平均每天發送了約 31,000 封網絡釣魚攻擊郵件。此外,針對憑證的網絡釣魚攻擊數量增加了 967%。這些數據表明網絡釣魚攻擊呈現快速增長趨勢,給網絡安全帶來嚴重威脅。摘要012023網絡釣魚趨勢分析報告攻擊技術的快速演進攻擊技術的快速演進是網絡安全領域的一大特點。釣魚作為主要的獲取初始訪問權限的手段,攻擊者不斷調整
5、釣魚內容和形式,使其更具真實性和誘惑力。同時,攻擊者也在探索新的攻擊途徑,如社交工程獲取賬號密碼,或利用供應鏈滲透進入目標網絡。此外,使用的惡意附件越來越多樣化。除了傳統方式外,攻擊者還采用了諸如 Python、golang 等語言編譯的可執行程序,以及二維碼誘導掃描等新手法。盡管防御技術不斷提升,但攻擊者的技術和動機也在增強。因此,企業安全防護依然面臨嚴峻挑戰。不斷擴寬的攻擊渠道釣魚郵件和釣魚網站仍然是最常見的釣魚手段。犯罪分子制作出逼真的網站或發送包含惡意鏈接的電子郵件,誘使用戶泄露個人信息或點擊鏈接。隨著社交軟件的普及,利用這些平臺進行釣魚攻擊也日益增多。同時,手機釣魚也成為新興領域。通
6、過短信或應用程序進行釣魚,成功率更高,因為用戶在手機上打開鏈接的警惕性較低。這給防范工作帶來了新挑戰。利用新興技術如云服務、加密貨幣進行釣魚活動也有所增加。網絡釣魚已從最初的郵件發展到利用移動互聯網、社交網絡及新技術的多渠道復合型攻擊。這給廣大網絡用戶的信息安全帶來前所未有的威脅。需要加強技術防護,提升全民安全意識。針對憑據的釣魚更為復雜憑據釣魚通常發生在仿真網站或其他表單中,要求用戶輸入賬號密碼。攻擊者通過仿制知名網站的登錄頁面,包括頁面設計、顏色和標志等,使用戶難以辨別虛假性。這種高度仿真的偽裝讓用戶誤以為他們在與正規網站互動,因此輸入敏感憑據。攻擊者利用社會工程學手段提高攻擊成功率,通過
7、釣魚郵件或消息使用緊急語言,制造緊急處理氛圍,迫使用戶匆忙操作而不經思考,增加用戶受騙可能性。此外,攻擊者可能通過欺騙用戶提供多因素身份驗證的令牌或驗證碼,繞過傳統憑據防護手段。隨著人工智能介入,攻擊者開始使用自動化工具生成個性化的釣魚攻擊,根據目標用戶特征生成更具針對性的虛假頁面或信息,提高攻擊成功率。共同驅動的經濟和政治目的當前,一些網絡犯罪分子為了謀取經濟利益而積極從事網絡犯罪活動。同時,地緣政治緊張局勢也在一定程度上推動了網絡戰爭的發展,使得釣魚攻擊等網絡犯罪表現出更為復雜和多層次的特征。在過去的2023年,釣魚攻擊作為一種網絡犯罪手段,受到了經濟和政治目的的共同驅動的影響,呈現出多層
8、次的復雜性。攻擊者利用經濟不景氣的時機更積極地開展網絡犯罪,而地緣政治緊張局勢則為這些犯罪提供了更多的可乘之機。網絡釣魚攻擊不僅僅是為了獲取經濟利益,還可能與政治滲透、信息操控等活動相結合,對國家和個人的安全構成威脅。022023網絡釣魚趨勢分析報告數字里的網絡釣魚隨著世界格局走向多極化和經濟承壓前行,網絡犯罪數量開始上升。據深信服千里目安全技術中心統計,2023 年網絡釣魚攻擊事件總數約為 16 億起,同比增長 166%,較 2022 年的 9.6 億起有顯著增長。近 5 年來,網絡釣魚攻擊呈現上升趨勢,年復合增長率約為 15%,增速較快。2023 年由于政治和經濟原因,增速相對較快。隨著互
9、聯網用戶規模擴大和攻擊技術升級,未來這種攻擊形式可能持續活躍,但增速應有所緩和。2023,網絡釣魚事件數量持續攀升2019 年0246810釣魚數量(單位:億起)121416182020 年2021 年2022 年2023 年032023網絡釣魚趨勢分析報告2023,網絡釣魚攻擊呈現季節波動特征2023 年網絡釣魚攻擊呈現季節波動特征,整體仍處于高發狀態,安全防范任務依然緊迫。根據深信服千里目安全技術中心統計,一季度攻擊數量高達 5.6 億起,較為突出。二季度數量急劇下降至 1.8 億起,同比下降近 68%,達到近年低點,可能與熱點事件較少有關。三季度攻擊數量激增至 4.9 億起,環比增長超過
10、 173%,重回高水平。四季度攻擊量為 3.6 億起,屬中上水平,略低于高峰三季度,但仍高于一季度。年末效應帶來小高峰。針對這一現象,建議加強熱點期的防護力度,利用間歇窗口進行改進,適應網絡釣魚攻擊的周期性高發特點。釣魚數量(單位:億起)2023Q10.01.02.03.04.05.06.02023Q22023Q32023Q4042023網絡釣魚趨勢分析報告2023 年,制造業、服務業、政府部門、醫療行業和教育行業等行業都面臨網絡釣魚攻擊的威脅。深信服千里目安全技術中心針對不同行業的網絡釣魚攻擊次數進行統計,結果顯示制造業占比最高,達 27.5%,可能是因為該行業的網絡環境復雜,安全防護相對薄
11、弱。服務業排名第二,占比為 15.6%,這可能與該行業員工眾多,信息安全培訓不夠有關。政府部門排名第三,占比為 11.6%,由于數據資產和業務管理敏感易成為攻擊目標。醫療行業占比為 9.2%,也面臨類似威脅。教育行業占比為8.4%,可能由于員工信息安全意識和防護技能普遍偏弱。其他行業如研究、批發、互聯網、建筑和金融等受攻擊比例較低,但仍存在一定風險。因此,各行業都應重視網絡釣魚攻擊這一共性安全威脅,根據自身業務環境和系統漏洞特點,有針對地提升員工警惕性,并全面加強安全防護措施。2023,網絡釣魚攻擊行業分布集中27.5%17%1.8%15.6%11.6%9.2%1.9%1.9%2.4%8.4%
12、2.7%制造業服務業醫療批發業互聯網建筑業金融研究和教育發展教育政府其他052023網絡釣魚趨勢分析報告2023,中小型企業面對網絡釣魚的挑戰更大根據我們對受釣魚攻擊成功企業的統計發現,中小型企業遭受釣魚攻擊最為頻繁,其次是超大型企業,而大型企業受到的釣魚攻擊次數相對較少。我們推測這種現象可能源于幾個關鍵因素。首先,中小型企業由于經濟實力有限,難以全面投入安全防護,加上員工的安全意識相對薄弱,使得他們更容易被釣魚攻陷。其次,對于超大型企業而言,規模龐大且員工眾多,難以確保每位員工都能對釣魚威脅保持高度警惕,使得這些企業也容易被釣魚攻擊成功。而大型企業通常具備相對完善的安全建設,員工也具備一定的
13、安全意識,因此被釣魚成功的幾率較低。10000人900-999人1900-1999人1000-1099人7900-7999人700-799人1200-1299人3400-3499人1600-1699人2000-2099人1100-1199人5500-5599人1800-1899人1700-1799人3100-3199人1500-1599人20%50 人9%200-299 人7%50-99 人7%100-199 人5%300-399 人5%500-599 人5%600-699 人5%400-499 人4%3%3%2%2%2%2%2%2%1%1%1%1%1%1%1%1%062023網絡釣魚趨勢分析
14、報告根據我們對網絡釣魚攻擊渠道的監測統計顯示,電子郵件仍然是網絡犯罪分子傳遞惡意載荷的主要方式,占比高達35.2%,且呈上升趨勢。這主要是因為電子郵件具有普及度高、易于大規模傳播等優勢,自動化攻擊逐步完善。短信和彩信渠道目前占比約為 15%,近年來隨著移動終端普及和數據泄露增加,該渠道的攻擊數量也在上升。此外,根據數據顯示,創建釣魚網站進行欺詐、利用搜索引擎投放誘導廣告、利用社交網絡和即時通訊軟件發起釣魚活動也成為重要的網絡釣魚手段,占比分別為 13.4%,12.8%,10%。網絡釣魚攻擊正試圖滲透覆蓋互聯網幾乎所有主要社交媒介渠道。因此,相關企業和用戶需要提高對電子郵件、短信、第三方網站、社
15、交軟件等多個維度安全風險的認識,做到全方位防范。僅僅依賴于某一渠道的安全措施是遠遠不夠的。2023,網絡釣魚攻擊渠道多樣郵件釣魚短信/彩信搜索引擎社交媒體網站釣魚其他35.2%15%13.4%12.8%10%13.6%072023網絡釣魚趨勢分析報告2023,釣魚文件“術業有專攻”在網絡釣魚活動中,犯罪分子使用最多的文件類型包括 exe、dll、doc、html 和 vbs 等。根據監測統計,這些文件形式的釣魚出現頻率較高。不同類型文件的利用方式也不盡相同:exe 和 dll 用于運行并安裝木馬程序,html 和 vbs 用于釣魚網站攻擊或者通過 html、vbs 文件釋放/下載其他文件,而
16、doc 經常用于針對用戶的社會工程學詐騙或漏洞攻擊。各種文件類型可以互相配合,發揮綜合效果。exe 38%dll 12%doc 9%html 5%vbs 4%excel 4%msi 4%zip 4%dat 3%xls 3%docx 3%powershell 3%pdf 2%js 2%082023網絡釣魚趨勢分析報告重點行業釣魚分析當前網絡環境下,制造業面臨著愈演愈烈的網絡釣魚攻擊威脅。這些攻擊可能偽裝成供應鏈伙伴、發送虛假訂單或內部通知,以獲取敏感信息或入侵內部系統。為了應對這一威脅,制造業需要實施多層次的防御措施。首先,通過分析過去的網絡釣魚攻擊案例,了解攻擊者的模式和目標,制定有針對性的防
17、御策略。其次,實施行為異常檢測機制,監控供應鏈成員的行為模式,及時識別和應對異常操作。定期進行釣魚攻擊模擬和培訓,提高員工對釣魚攻擊的識別和應對能力。同時,利用相關技術對電子郵件內容、鏈接和附件進行深度分析,快速識別潛在的釣魚信息,降低安全風險。另外,強化與供應鏈合作伙伴的安全合作至關重要,可以確保整個供應鏈的安全性。制造業應綜合運用技術防御、持續的教育培訓和合作伙伴管理,構建全方位的網絡安全防護體系,更有效地對抗網絡釣魚攻擊,降低潛在威脅對業務的影響。制造行業2023 年 4 月份,奧地利一家實驗室儀器和過程測量系統制造商收到了勒索組織 Black Basta 發來的釣魚郵件。隨后,攻擊者加
18、密了該公司約 10%的內部 PC 和服務器,導致公司全球范圍內的大部分系統和服務都被關閉。092023網絡釣魚趨勢分析報告政府部門作為國家的重要機關,掌握著大量敏感數據,如公民個人信息和行政審批數據,成為網絡釣魚攻擊的主要目標之一并非意外。數據顯示,政府系統和公共部門遭受相關威脅攻擊的比例已超過 10%,并持續上升。攻擊者可能會偽裝成政府機構、官員或政府合作伙伴,發送虛假通知、惡意鏈接或要求敏感信息的電子郵件,試圖竊取機密數據或入侵政府系統。我們推測政府部門受到針對主要有以下原因:首先,政府部門廣泛掌握著國計民生的大量敏感數據,這些數據在黑灰產市場具有極高的價值。其次,政府信息系統長期以來相對
19、封閉,對外部網絡環境缺乏充分的安全監控。作為網絡空間主權的維護者,政府的網絡防御意識和技術防線依然需要不斷強化。第三,政府公務人員作為重要信息接收和處理者,普遍缺乏應有的網絡欺詐識別能力和安全防范意識,這為各類定制化社會工程欺詐攻擊提供了可乘之機。因此,相關部門有必要從加強政務信息系統的云安全防護、實施網絡環境全面監測、提升公務員信息安全培訓等方面入手,建立完善的網絡釣魚防范體系,有效保障政府數據與業務安全。政府機構在 2023 年 12 月 15 日至 12 月 25 日期間,烏克蘭 CERT-UA 發現多起針對政府組織的網絡釣魚攻擊。攻擊者發送釣魚郵件,試圖誘導收件人點擊郵件中包含惡意 l
20、nk 文件的鏈接。一旦打開 lnk 文件,將執行惡意 PowerShell 代碼。為確保網絡安全,請謹慎處理來自不明寄件人的郵件,避免點擊可疑鏈接。醫療行業在網絡釣魚攻擊方面面臨著重大挑戰。根據歷史案例,我們發現對醫療行業發起釣魚攻擊的一些典型方式包括:假冒醫療機構或專業人員:攻擊者冒充醫生、護士或醫療機構的信任對象,通過電子郵件發送虛假通知或信息,請求患者或員工提供個人信息或敏感數據。虛假賬單和欺詐性支付:攻擊者發送虛假醫療賬單或支付通知,引誘患者或醫療機構執行支付操作,以盜取資金或獲取財務信息。供應鏈攻擊:攻擊者冒充醫療供應商或合作伙伴,發送虛假訂單或支付信息,試圖欺騙醫療機構。這些攻擊方
21、法的共同特點是利用社會工程學手段進行欺詐。攻擊者常常偽裝成合法且值得信賴的實體,通過看似真實的電子郵件或信息誘導人們點擊鏈接、提供個人信息或執行付款操作。為保護醫療信息安全,請務必謹慎對待不明來源的郵件或信息。醫療行業美國聯邦調查局在 2023 年 10 月份發出警告,指出網絡犯罪分子正針對美國各地的整形外科辦公室展開網絡攻擊。他們利用欺騙性電子郵件和電話號碼進行網絡釣魚攻擊,傳播惡意軟件并勒索受害者。一旦攻擊者獲得網絡訪問權限,他們會竊取辦公室系統中的數據,并利用這些數據勒索外科醫生和患者。這種行為對整形外科行業構成嚴重威脅,需要采取相應措施加強網絡安全防護。102023網絡釣魚趨勢分析報告
22、教育行業存儲著大量敏感身份信息和前沿領域研究數據,因此成為不法分子的重要目標。這些不法分子經常偽裝成政府機構人員、學校工作人員、學生或家長,發送虛假通知、惡意鏈接或虛假賬戶要求提供個人信息或轉賬,試圖侵入校園網絡系統。最新數據顯示,面向教育系統和師生員工的釣魚攻擊已占網絡釣魚總體的 8%以上。教育行業擁有大量隱私信息,如學生、家長、教職員工的個人身份、家庭、考試、財產等詳細信息,這些數據在黑市上價值不菲。然而,學校師生整體安全意識不足,對信息安全重視程度不高,對各種釣魚手段缺乏了解,容易受騙。因此,教育行業亟需重視網絡釣魚等身份信息盜用犯罪問題,從安全教育、系統加固和攻擊監測應急等多個方面入手
23、,切實提高網絡欺詐防御能力,保護敏感數據安全。教育行業金融行業是一個擁有大量用戶敏感個人數據和資金流動的行業,長期面臨各種網絡釣魚攻擊的風險。目前,針對金融系統的網絡釣魚攻擊主要分為郵件釣魚、短信釣魚、電話釣魚、公眾號釣魚、惡意應用程序和假冒客服這六大類別。這些釣魚攻擊通常利用社會工程學手段,冒充金融機構或政府部門,通過發送含有釣魚鏈接或要求提供敏感個人信息的電子郵件、短信、電話或公眾號文章,誘導用戶提供信息。一些第三方金融應用可能攜帶惡意木馬程序,用于竊取用戶數據。此外,攻擊者還可能在社交軟件上冒充銀行客服直接向用戶索要信息。由于攻擊手段日益復雜,普通用戶難以完全防范這些釣魚攻擊。因此,提高
24、金融供給雙方的安全意識,加強賬戶和信息系統的安全防護,核實消息和賬戶的真實來源,謹慎判斷信息請求的必要性,是用戶可以采取的主要保護措施。金融機構也應不斷加強技術手段,通過檢測釣魚網站、賬號和惡意程序,盡量減少這些釣魚攻擊對用戶造成的危害。金融行業在 2023 年 3 月,一起犯罪活動利用 JavaScript 注入技術,試圖竊取包括北美、南美、歐洲和日本等國的40 家銀行的 50000 名用戶數據。2023 年 11 月份,一名學生接到了自稱是政府電信局工作人員的電話,對方聲稱該學生涉嫌參與電話卡洗錢活動,要求將錢款轉至指定銀行卡中。學生最終被騙走了超過 350 萬元的巨額資金。112023網
25、絡釣魚趨勢分析報告案例一郵件作為企業和個人日常工作溝通的主要工具,使用范圍極為廣泛,但也為釣魚攻擊提供了巨大的覆蓋面。攻擊者可以輕易獲取大量收件人,發起大規模郵件攻擊,而且發送釣魚郵件只需要基礎的技術即可完成。利用成熟的社會工程學手段,攻擊者可以輕松偽造發送人、主題和內容,這種低成本、低風險的攻擊便利了網絡犯罪分子。長期高強度的郵件釣魚攻擊讓用戶產生了防范疲勞,安全意識淡漠,容易被欺騙,也間接助長了此類攻擊的持續活躍。近年來,網絡釣魚即服務(Phaas)的出現為郵件釣魚攻擊提供了簡單自動化的解決方案,攻擊者可以直接租用或購買這類服務來發動攻擊,進一步降低了攻擊成本和技術門檻。隨著新型惡意軟件不
26、斷出現和攻擊手段層出不窮,郵件釣魚依舊連綿不絕。攻擊者以發票的名義,通過電子郵件誘使收件人打開附件/鏈接,并在鏈接指向的頁面中偽造官方支持的假象,提示收件人輸入個人憑據。郵件正文中還添加了虛假的殺毒軟件掃描信息,以降低受害者的警惕。一旦收件人打開附件或鏈接,賬號輸入框會自動填充,進一步降低受害者的警惕。當受害者輸入個人信息后,瀏覽器會將用戶輸入內容發送至攻擊者的服務器。郵件依舊是傳播釣魚的主力年網絡釣魚的主要特點122023網絡釣魚趨勢分析報告案例二攻擊者偽裝成會議主辦方發送電子郵件邀請收件人參加會議。在郵件正文中,攻擊者提示用戶打開附件進行確認。附件是經過壓縮的 rar 文件,這樣可以避免部
27、分安全產品的掃描。壓縮包中包含了一個 chm 文件,chm 是一種微軟幫助文檔,通常用于軟件的在線幫助解決方案。chm 以壓縮的 HTML 格式保存,可以包含 HTML 頁面和圖像,可以通過雙擊直接啟動。然而,chm 中包含了帶有惡意 Jscript 腳本的 HTML 頁面。當用戶雙擊執行 chm 文件之后,將會執行惡意代碼,導致用戶主機受到攻擊。132023網絡釣魚趨勢分析報告2023 年活躍的銀狐團伙采用了這種釣魚方式,攻擊者首先添加目標為好友,通過社會工程學手段獲取信任之后發送惡意文件,并誘導目標打開和運行。當惡意文件被運行之后會從遠程服務器下載其他文件并執從而實現長久的遠程控制,同時攻
28、擊者會監控受害者屏幕,等到時機成熟后會控制該機器向其他人聯系人發起類似的釣魚攻擊,如果目標合適將會誘導其轉賬打款進行金融詐騙。即時通訊軟件釣魚案例通訊軟件釣魚是一種社交網絡釣魚與虛擬詐騙攻擊,通過即時通訊渠道傳播和實施。攻擊者通常會向受害用戶發送包含釣魚鏈接或附件的消息,利用各種社會工程學手段誘使用戶輸入個人信息或掃碼轉賬匯款,從而非法竊取賬號、資金和個人信息。主要傳播方式包括好友賬號被盜后發送匯款要求、利用空群自動傳播消息、創建假冒機構或客服賬號發信、制作符合日常會話語境的信息等。為防范此類攻擊,用戶應提高安全意識,不輕易點擊陌生鏈接,并使用多因素認證保護個人賬號。通訊軟件釣魚具有較強欺騙性
29、,用戶需提高警惕并增加防范知識。同時,通訊企業也應不斷完善相關安全防護與監管措施,保障用戶信息安全。利用即時通訊軟件釣魚142023網絡釣魚趨勢分析報告攻擊者通過郵件偽裝成政府部門,發送包含二維碼的釣魚文檔給用戶。這些文檔在打開后會呈現偽裝的政府文件,目的是誘導用戶掃描二維碼打開惡意鏈接。二維碼釣魚案例二維碼釣魚的廣泛使用隨著二維碼的廣泛應用,網絡釣魚攻擊也越來越多地利用二維碼進行詐騙活動,據統計,二維碼釣魚攻擊同比增長了90%。攻擊者利用二維碼可以規避安全解決方案的檢測,同時也能降低用戶的警惕性。調查顯示,超過 85%的用戶對二維碼支付和掃碼認證存在盲信心理,意識不夠警惕,為攻擊者提供了機會
30、。近年來,已經出現了多起利用假冒支付寶、微信等知名企業收款二維碼進行詐騙的典型案例。不法分子通過社交平臺傳播假冒業務延伸的釣魚二維碼,進行遠程詐騙。一些攻擊者還會在公共場所如餐館、共享單車張貼含惡意鏈接的二維碼,一旦掃描二維碼可能會導致個人信息泄露、憑證失竊、資金被盜等風險。152023網絡釣魚趨勢分析報告根據 FBI 統計顯示,2022 年全球 BEC 攻擊次數達 37 萬起,同比增長了 65%,導致被害損失高達 43 億美元。而在 2023 年,BEC 攻擊次數更是飆升至超過 50 萬起,損失金額達到 53 億美元。中國作為網絡大國,受到的 BEC 攻擊次數僅次于美國,2023 年已經遭受
31、了超過 18 萬起的攻擊,損失金額超過 100 億人民幣。在 2023 年以來,全球發生了多起大規模商業電子郵件欺詐事件:1 月,印度最大私人銀行 HDFC Bank 遭遇了 BEC 攻擊并損失超過 130 萬美元的資金;2 月初,美國加州一家醫院在 BEC 攻擊中損失了超過 100 萬美元;澳大利亞一家大型零售商在一次業務郵箱入侵中損失了 250 萬澳元。這些事件再次提醒我們,網絡安全問題日益嚴峻,必須加強防范。商務郵件泄露導致經濟損失網絡犯罪分子利用可信供應商泄露的郵件發送釣魚鏈接,鏈接指向合法網站托管的釣魚頁面。一旦收件人點擊鏈接,將被引導至 OneDrive 文檔的預覽界面,然后鏈接到
32、另一個釣魚頁面。在這個過程中,受害者可能會被帶到另一個平臺的虛假登錄頁面,使用中間人攻擊(AiTM)技術。當受害者在頁面上輸入郵件賬號密碼后,攻擊者會在目標網站上創建身份認證會話,甚至展示虛假的 MFA 認證。一旦多因素認證完成,攻擊者將捕獲會話令牌用于 Cookie 重放攻擊,從而登錄受害者賬戶。為了持續控制賬戶,攻擊者登錄后可能添加新的 MFA 方法。隨后,他們可能創建收件箱規則,將傳入的電子郵件移動到歸檔文件夾并標記為已讀,以降低用戶感知。接著,攻擊者會利用被入侵的郵箱向其他聯系人發送大量釣魚郵件,并通過同樣的手段發起新一輪的 BEC 攻擊。以上案例表明,2023 年遭遇著頻繁且損失慘重
33、的 BEC 攻擊威脅,而今年這一趨勢預估還會有所增加,而大多數企業和用戶對 BEC 類攻擊的防范投入仍然不足,意識和安全產品部署都需進一步加強。BEC釣魚案例AttackerAttackerauthentication viastolen sessioncookiePhishing emailfrom compromisedtrusted sourceCompromised networkTarget networkLegitimate webpage withphishing URLBECcampaignEmails and filesread;mailboxrules addedMFA m
34、ethodmodification andnewsession creationInternalusersExternalrecipientsSecond-stage BECcampaign fromcompromisedtargetsAiTM phishingpageCredentialcompromise andsession cookie theft162023網絡釣魚趨勢分析報告雙/多因素認證的繞過隨著單因素認證面臨社會工程和密碼破解等風險以及相關監管政策的要求,雙/多因素認證(2/MFA)已被廣泛部署。但黑客也針對 MFA 機制本身展開攻擊。常見的繞過手段包括:這類攻擊通常成本較高,
35、因此通常是有目標性的,針對重要用戶或品牌,以獲取更高的攻擊收益。AiTM 攻擊指的是網絡犯罪分子攔截受害者和合法軟件之間的通信。攻擊者利用相關工具創建釣魚頁面,使其模仿真實頁面。當受害者在頁面輸入內容時,代理服務器會保存并轉發這些信息。犯罪分子會利用保存的信息,在受害者毫不知情的情況下登錄其賬戶。中間人代理攻擊(AiTM)網絡犯罪分子不斷向賬戶所有者發送多因素認證(MFA)通知,導致賬戶所有者疲勞感,故意誘發驗證碼登錄失敗,并將用戶重定向至釣魚頁面。MFA 疲勞網絡犯罪分子繞過賬戶所有者,直接聯系其 IT 服務臺,假裝受害者丟失設備密碼以重置賬戶。MFA 重置攻擊者冒充用戶,佯稱原始的 SIM
36、 卡丟失或被盜,說服電信提供商補發 SIM 卡。在安裝新的 SIM 卡后,攻擊者就可以用新卡來完成 MFA 檢查、重置賬戶憑據。SIM 卡交換攻擊利用應用層或傳輸層漏洞直接劫持或篡改 MFA 的確認信道。通訊信道劫持172023網絡釣魚趨勢分析報告攻擊者利用中間人攻擊繞過多因素認證,通過郵件或即時通訊發送鏈接或二維碼誘導目標點擊。受害者按照攻擊者的提示輸入信息后,賬戶將被接管。雙/多因素認證的繞過釣魚案例182023網絡釣魚趨勢分析報告GPT與網絡釣魚近兩年來,隨著 GPT 技術的快速發展和應用,攻擊者也將目光投向了這一領域。2023 年 3 月份,WormGPT 首次亮相,黑客聲稱該 AI
37、專門為協助網絡犯罪分子而設計,可以自由生成惡意代碼或創建網絡釣魚攻擊。6 月份,正式版本發布,售價為 60/M 或 550/Y 在黑市上進行交易。安全研究人員測試后發現,WormGPT 制作的釣魚郵件具有很強的說服力,使用的戰略也很狡猾。7 月,黑市上以 200$/M 的價格推出了 FraudGPT,該模型可以編寫惡意代碼、創建釣魚頁面、生成欺詐內容。作者聲稱將在未來發布更加強大的 GPT。8 月,黑客以 90$/M 和 80$/M 的價格發布了兩款惡意 GPT 模型:DarkBERT 和 DarkBARD。盡管這些服務很快因開發者個人信息被曝光而關閉,但這也讓更多人看到了不受限制的 AI 的
38、潛在利潤,可能會吸引更多人從事這類模型的開發。釣魚GPT的快速發展192023網絡釣魚趨勢分析報告GPT與釣魚的攻與防惡意GPT的快速發展給網絡釣魚攻擊的攻擊與防御帶來了新的挑戰:更快的攻擊速度惡意 GPT 技術的發展使攻擊者能夠更快地生成欺騙性文本,從而更迅速地展開釣魚攻擊。攻擊者能夠大量生成高質量、逼真的釣魚信息,縮短了攻擊準備時間,提高了攻擊效率。更低的攻擊門檻惡意 GPT 使得對進行網絡釣魚攻擊的門檻降低。以前,需要有較高的技術水平和時間才能創建逼真的欺騙性文本,但現在,即使技術水平較低的攻擊者也能夠利用惡意 GPT 輕松生成可信度高的釣魚內容。更靈活的攻擊手法惡意 GPT 的進步使攻
39、擊者能夠靈活地定制和調整攻擊手法。他們可以根據不同情境和受害者的特征生成個性化的攻擊鏈,提高了攻擊的針對性和成功率。這意味著傳統的網絡釣魚防御措施不足以應對這種新形式的攻擊,防御惡意GPT驅動的釣魚攻擊需要更具創新和多樣化的方法:內容分析通過 AI 分析電子郵件、網站內容或社交媒體信息,識別其中的特征,如欺騙性語言、常見的釣魚模式或惡意鏈接?;谶@些特征,進行分類判斷。行為分析通過 AI 可以監測用戶行為模式,識別異常操作。威脅情報通過 AI 可以分析大量威脅情報數據,包括已知的釣魚網站、惡意 IP 地址等,通過比對檢測流量和用戶行為,提前發現可能的風險。自然語言處理基于 NLP 技術,AI
40、可以分析文本內容,識別模糊、誤導性或欺騙性的語言結構,并幫助區分合法信息和釣魚嘗試。深度學習和機器學習利用深度學習和機器學習技術,AI 模型可以根據已知的訓練數據不斷優化,提高對新型釣魚攻擊的檢測能力。防攻202023網絡釣魚趨勢分析報告典型釣魚案例分析近年來,一些典型的網絡釣魚案例不斷涌現。這些案例的犯罪動機各不相同,但都利用了虛假信息和誘餌誘導用戶上當受騙。通過分析這些案例,我們可以發現一些共同點,如犯罪分子利用用戶的貪婪心理、恐慌 心理等弱點進行攻擊。同時,這些案例也暴露出一些問題,如用戶防范意識不足、技術監管存在漏洞等。網絡犯罪分子通過電子郵件分發 Emotet 惡意軟件,攻擊者冒充國
41、稅局和公司發送稅表郵件,附件的歸檔文件中包含了惡意宏代碼的 word 文件,當宏代碼被運行后會從遠程服務器下載 Emotet DLL 文件并使用 regsvr32 運行。3月黑客組織對葡萄牙的 30 家政府機構和金融機構進行了惡意活動。攻擊者采用多種方式將惡意文件投遞到目標主機,包括偽裝成本地能源公司、稅務、海關總署的釣魚郵件,以及偽裝這些組織的惡意網站和其他社會工程學攻擊。這些文件包含混淆的惡意 VB 腳本,運行后會加載”PeepingTitle“后門程序。這個后門會引導受害者訪問虛假門戶網站,竊取相關憑證或監控指定金融機構窗口,并記錄鍵盤輸入,從而竊取憑證。5月7月網絡犯罪分子以歐洲各國外
42、交政策為主題發送釣魚郵件,此次活動存在兩條感染鏈,都使用 HTML 走私技術將惡意載荷隱藏到 HTML 編碼的字符中,走私的歸檔文件中存在惡意的 LNK 文件,當 LNK 文件被執行時會運行 powershell 代碼釋放exe 可執行文件,隨后通過側加載技術加載惡意 dll 文件。6月網絡犯罪分子偽裝成記者進行網絡釣魚攻擊,攻擊者利用受害者的信任謊稱需要進行身份認證引導受害者訪問竊取Discord,Twitter令牌的網站,攻擊者在獲取賬戶權限之后會竊取賬戶加密貨幣,并利用該賬戶發布釣魚信息擴大受害者規模。212023網絡釣魚趨勢分析報告8月黑客組織利用 Microsoft Teams 攻擊
43、全球數十個組織,其中包括政府機構。攻擊者利用被感染的 Microsoft 365 租戶創建技術支持的主題域,并向目標組織發送技術支持誘惑,旨在繞過 MFA 竊取用戶憑證。網絡犯罪分子向全球組織發送惡意電子郵件,攻擊缺乏針對性。攻擊者偽裝成組織的管理人員,通知用戶即將更新電子郵件服務器,暫時停用賬戶。隨后要求收件人打開 HTML 附件了解更多關于服務器升級的信息,避免賬戶停用。打開附件后顯示虛假的 Zimbra 登錄頁面,用戶名被填充。當收件人輸入密碼并提交時,信息被發送到攻擊者的服務器。網絡犯罪分子針對美國著名能源公司發起釣魚攻擊。攻擊者通過電子郵件發送帶有二維碼的圖片或 pdf 到目標郵箱,
44、提示收件人掃碼驗證賬戶。二維碼包含重定向鏈接并經過 base64 編碼,重定向至 Microsoft 365 的釣魚界面。受害者掃描后被重定向,按要求輸入內容后,賬戶被攻擊者接管。10月安全研究人員稱犯罪分子通過魚叉式網絡釣魚的電子郵件針對亞洲國家關鍵組織的特定人員進行定向攻擊,郵件附件為 zip 歸檔文件,其中的惡意 dll 利用CVE-2022-23748 側加載“CurKeep”惡意軟件。11月網絡犯罪分子通過谷歌和 Twitter 推廣廣告傳播包含名為“MS Drainer”的加密貨幣消費網站,“MS Drainer”可以在未經用戶許可的情況下竊取用戶加密錢包的資金,在過去的幾個月中該
45、工具已經從六千多個受害者處竊取超過 5900 萬美元。12月安全研究人員發現,有網絡犯罪分子偽裝成 Meta 公司向 Instagram 用戶發送侵權投訴的郵件。這些郵件中包含上訴鏈接,但實際指向惡意頁面,該頁面會收集用戶的 Instagram 賬號密碼,并詢問是否啟用了 2FA 保護。如果用戶有啟用 2FA 保護,頁面還會要求提供備份代碼。這種針對 Instagram 用戶的網絡攻擊已經多次出現,同時也有類似針對 Facebook 用戶的情況。另外,烏克蘭計算機應急響應小組發布公告稱,有 APT 組織向當地政府及其盟友發送帶有惡意鏈接的電子郵件,以感染目標主機。此外,微軟表示 QakBot
46、在網絡釣魚活動中再次被分發。在 12 月 11 日,QakBot 偽裝成美國國稅局員工的電子郵件針對酒店行業發起小規模攻擊。電子郵件中包含PDF 文件,但內容顯示 文檔預覽不可用 并提示用戶進行下載。當用戶點擊下載時,將下載 MSI 安裝包,該安裝包會執行 QakBot 惡意程序。222023網絡釣魚趨勢分析報告網絡釣魚防御術針對日益猖獗的網絡釣魚活動,相關部門和企業采取了一系列防御措施。這些措施包括加強網絡安全教育、提高用戶防范意識、加強技術監管等。然而,在實際應用中,這些措施的效果并不理想。一些用戶仍然缺乏防范意識,容易被虛假信息誘導。同時,一些技術監管手段也存在漏洞,容易被犯罪分子利用。
47、網絡釣魚之所以難以防范,主要有以下幾個原因:攻擊技戰術多樣、先進攻擊者不斷改進攻擊技術手段,使其更難被發現和防范。一方面,釣魚文字內容上采用高誘惑語言,利用人性漏洞,受害者難以識別;騙人的語言套路千變萬化,最新的二維碼和 url 偽裝等攻擊方式實時生成、變化快,造成采用特征規則的常規技術手段無法檢測。另一方面,用于釣魚的文件通常都會做免殺對抗(變種、白利用、內存運行等),造成防病毒等常規終端安全軟件無法查殺。人+敏感信息泄露由于網絡釣魚攻擊手段復雜多樣,網絡釣魚攻擊者通常利用心理欺騙手段,通過誘導受害者采取特定行動,如點擊惡意鏈接、下載惡意附件、泄漏個人信息等,許多人對網絡安全意識不足,容易上
48、當受騙。高度定制化網絡釣魚攻擊往往具有高度定制化的特點,攻擊者會針對特定的受害者或組織進行針對性的攻擊,使其更具迷惑性和欺騙性。232023網絡釣魚趨勢分析報告面向大型單位內部防釣魚的建議定期開展內部釣魚模擬演練,加強員工識別釣魚信息的安全意識培訓。采取零信任策略和網絡分段管理,避免釣魚攻擊從一個分區向整個網絡蔓延。安裝反釣魚軟件,識別系統和軟件的漏洞和后門,避免被網絡犯罪分子利用發起針對性攻擊。重點保護核心數據庫和系統,建立訪問權限管理和高級認證機制,防止釣魚攻擊后數據外泄。構建企業信譽度評級體系,識別可疑釣魚賬號并限制其訪問企業系統的權限。加強供應鏈安全管理,對第三方合作伙伴實行嚴格的網絡
49、安全審核。預防郵件防御終端防御邊界防御GPT智能防御1.提升安全意識,提高釣魚難度2 解決部分郵件釣魚問題3.解決郵件、IM、網站、U 盤釣魚問題4.解決釣魚 URL,釣魚反聯問題5.解決高級隱蔽釣魚問題,如實戰攻防演練、APT 釣魚242023網絡釣魚趨勢分析報告深信服防釣魚安全能力全景預防提升安全意識,提高釣魚難度宣傳釣魚造成數據泄露,內網被控制的危害;強調安全責任和處罰措施,尤其多次被釣魚員工;抓重點人群(HR、客服、IT 服務及特定業務人員等)培訓。加強網絡安全宣傳、培訓依托釣魚演練平臺,通過實戰模擬幫助用戶單位評估職員的網絡安全意識和應對能力,提高其安全意識并構建人防防御體系,從而減
50、少受到網絡釣魚攻擊的風險,避免組織和個人遭受經濟及聲譽損失。通過釣魚演練提升安全意識云端賦能數據采集層防御層安全GPT釣魚檢測大模型安全檢測響應平臺XDR云端安全能力郵件防御終端防御內容意圖推理多點關聯檢測邊界防御MSS服務郵件數據采集資產管理脆弱性識別網端聚合關聯SOAR流程化響應終端數據采集網絡數據采集釣魚演練失陷賬號溯源反制威脅情報釣魚URLDNS安全未知威脅AI模型規則更新云沙箱.釣魚狩獵公網泄露釣魚情報郵件規則內容檢測正文+網頁+鏈接核心能力重要能力云端賦能文件+圖像分析二維碼+文本AI視覺+文本文件行為關聯網頁行為關聯賬號行為關聯郵件行為關聯網絡行為關聯異常行為惡意特征沙箱檢測漏洞
51、檢測IOA檢測內存查殺文件偽裝登錄保護圖標偽裝IOC檢測AI檢測釣魚URL加密威脅威脅情報未知威脅252023網絡釣魚趨勢分析報告終端防御解決郵件、文件、網站、U盤釣魚問題邊界防御解決釣魚URL,釣魚反聯問題釣魚偽裝點專項采集:對于釣魚攻擊常用的圖標、文件名、文件后綴等偽裝,進行專項的采集。全鏈條攻擊行為采集與檢測:郵件釣魚場景將發件人、正文、附件到后滲透行為全鏈條采集和關聯分析,文件釣魚場景將文件名與文件后滲透行為全鏈條采集和關聯分析,有效檢測攻擊者使用的文件免殺對抗攻擊行為。內存馬掃描:外部來源的可疑 PE 文件執行后,調用內存掃描引擎檢測內存,精準識別內存馬攻擊。釣魚 URL 檢測引擎:
52、基于釣魚 URL 規避手段的多維度檢測模型。釣魚反聯惡意域名攔截:基于釣魚專項威脅情報進行實時攔截。深信服防釣魚核心技術安全GPT釣魚檢測大模型GPT探針-aES精準理解攻擊意圖全鏈條行為關聯分析自然語言理解釣魚案例掌握思維鏈CoT郵件客戶端文件進程阻斷文件隔離二維碼主流文件釣魚入口郵件提醒網絡阻斷文件入口關聯郵件入口關聯釣魚攻擊行為聚合平臺數據匯聚主流郵件釣魚入口數據來源采集響應智能研判262023網絡釣魚趨勢分析報告GPT賦能防釣魚 釣魚本質是一種社工欺騙,安全 GPT 內嵌了很多自然世界的知識如安全常識、情緒誘導等知識,天然地能夠像人一樣理解釣魚攻擊背后的意圖,做到社工欺騙精準識別。安全
53、 GPT 像專家一樣使用二維碼提取、網頁爬取等工具,分析接收地址是不是官方地址、頁面代碼是否存在克隆痕跡,還會主動查詢威脅情報對比域名歸屬地和注冊信息等,精準檢測二維碼、url 等偽裝欺騙手法。精準理解攻擊意圖,像專家一樣識別偽裝欺騙手法 在終端側采集發件人、圖標、正文、文件和后滲透行為等信息,通過 GPT 統一進行全鏈條的關聯分析,精準還原攻擊故事線。安全 GPT 還會從文件后綴及內容去推理文件落盤后的正常行為,進而比對實際行為,若出現了偏離,安全 GPT 可以準確捕獲,定性釣魚攻擊,大幅降低誤報。全鏈條行為關聯分析,有效應對文件免殺對抗難題 擴展 XDR 平臺后,安全 GPT 可以作為 X
54、DR 安全運營平臺的智能助手,實現全天候智能值守,同時支持以自然語言對告警數據包做解讀和研判,進一步提升運營效率和效果。XDR 提供兩種響應處置方式,一是聯動 SOAR 自動處置,識別到釣魚事件時,自動執行提前設置好的響應劇本,并發送消息給指定責任人;二是智能對抗,XDR 平臺內置高危高可信響應劇本,檢測到釣魚攻擊后,自動攔截關鍵行為,阻斷釣魚攻擊??蓴U展安全運營“智能駕駛”能力,實現“秒級閉環、百倍提效”272023網絡釣魚趨勢分析報告總結與展望經過本報告的分析,我們可以看到在 2023 年,網絡釣魚活動仍呈現出愈發猖獗的趨勢。為了有效打擊這種網絡犯罪行為,我們可采取多種措施進行治理。首先,
55、加強網絡安全教育至關重要。提高用戶的防范意識迫在眉睫,可以通過在學校、企業和社區開展網絡安全教育,教導他們如何辨別和避免網絡釣魚攻擊。用戶需要了解如何保護個人信息、辨認可疑鏈接和附件,并警惕不輕信來路不明的電子郵件和信息。只有用戶具備足夠的防范意識,才能有效地抵御網絡釣魚攻擊。其次,網絡犯罪分子不斷改進攻擊技術,我們亦須與時俱進,采取有效的技術手段來防范和打擊網絡釣魚活動。這包括及時更新防病毒軟件、防火墻和郵件安全網關等常規技術工具,以及建立更強大的網絡安全基礎設施。同時,需要引進更創新的技術,如 AI 大模型、小模型和行為分析等新型技術手段,應對日益增多且難以防御的高級隱蔽釣魚攻擊。最后,加強國際合作是打擊跨國網絡犯罪行為的必要手段。網絡釣魚活動往往涉及跨國犯罪團伙,因此需要加強與其他國家的合作,共同制定和實施打擊網絡犯罪的國際法律和協議。建立信息共享機制和快速響應機制,以便及時共享情報和合作打擊網絡釣魚活動。綜上所述,為了打擊網絡犯罪行為,我們需要加強網絡安全教育、完善和更新技術監管手段,并加強國際合作。只有通過綜合措施的采取,我們才能有效地遏制網絡釣魚活動的猖獗趨勢,保護用戶的利益和網絡安全。282023網絡釣魚趨勢分析報告