Barracuda发布的一份新报告刚刚揭露了一个网络犯罪的恐怖现实。报告的主要发现是:在拥有2000名或更多员工的公司中,将近42%的电子邮件攻击是由隐蔽的横向钓鱼攻击引发的。
没错——这些针对性的电子邮件威胁几乎有一半是源自被内部账户的泄露,这使得您的大型公司成为了网络犯罪分子的完美游乐场。
如果您之前没有听说过横向钓鱼,那么您真是生活在信息闭塞之中。但对于那些已经了解的人来说,让我为您详细解释——这不是普通的钓鱼诈骗。这是一种更为阴险的攻击方式,它潜入我们的系统,渗透我们的安全防护,并公然嘲笑我们所谓的“安全措施”。这不仅仅是一个问题,而是一个彻头彻尾的危机。
首先,让我们来谈谈“横向”这个词。这不是那种常见的钓鱼攻击,其中一些可疑人物试图诱骗您交出密码。不,这比那要隐蔽得多。
攻击者不仅仅想要您的登录凭证;他们想要渗透到您的整个网络中。一旦他们掌握了一个账户,他们就能在整个组织中操纵一切。而大多数企业对此毫无防备,因为他们根本不知道如何防御这种攻击。
现在,在你开始认为这只是大公司的问题之前,让我们来谈谈小公司。对于员工人数多达100人的公司来说,横向钓鱼几乎不存在,仅占攻击的2%。但如果你是一个小型企业的经营者,不要太自满。
你并没有脱离危险!小型企业正遭受着来自外部钓鱼攻击的重创,这些攻击占过去一年威胁的71%。这是大型公司的两倍多,后者遭受这些外部攻击的比例为41%。
情况更糟。小型企业面临勒索攻击的可能性是大型企业的三倍。对于小企业来说,勒索攻击占所有针对性威胁的7%,而大型公司只看到了这些恶劣策略的2%。
尽管存在差异,商业电子邮件泄露(BEC)和会话劫持在各种规模的公司中都普遍存在,没有偏好。Barracuda的产品营销总监Olesia Klevchuk明确指出:大型公司对攻击者来说是一个真正的自助餐。
攻击者发现了大量的邮箱和通信渠道,他们找到了大量利用的机会。员工可能会信任看起来像是来自组织内部的电子邮件,即使他们不认识发件人。
但不要以为小公司是安全的。它们通常缺乏分层的安全防御,并且由于资源和技能有限,电子邮件过滤器配置不当。Klevchuk警告说,虽然大型公司拥有更多的攻击者入口点,但小型企业通常因为安全措施不足而遭受损失。
我们即将深入横向钓鱼的黑暗水域——一种像野火一样蔓延的阴险网络诡计,将您的收件箱变成了战场。横向钓鱼是一种全新的隐蔽层次,它正在严重侵害企业。
那么,网络世界中的横向钓鱼是什么?下面是详细解释:想象你公司的电子邮件系统是一个庞大、相互连接的消息和账户的网络。现在,想象一个黑客潜入并劫持了其中一个账户。
听起来很糟糕,对吧?但这里更糟糕:他们不是向外界大肆宣传他们的骗局,而是使用已经受到入侵的账户在内部发起攻击。
没错!攻击者从一个已经处于您的组织网络内的账户发送钓鱼电子邮件。这些电子邮件可能看起来像是来自一个值得信赖的同事或熟悉的来源,诱使毫无戒心的同事点击恶意链接或交出敏感信息。这是终极的诈骗游戏——利用组织内部已经建立的信任来从内部破坏它。
为什么这是一个大问题?因为它是网络世界的特洛伊木马。攻击者不需要费尽心思从外部突破你的防御。他们已经在门内,使用合法账户来进行他们的肮脏工作。这使得检测和阻止他们成为一个真正的噩梦。
横向钓鱼——Barracuda的定义
攻击者使用最近被劫持或被破坏的账户向不知情的收件人发送钓鱼电子邮件,例如公司内部的密切联系人和外部组织合作伙伴。
那么重点是什么?Barracuda的建议是明确的:定期的安全意识培训是必须的。员工需要保持敏锐,能够在它们造成严重破坏之前发现可疑的电子邮件。实施多层次的、由人工智能驱动的防御至关重要,以检测和中和这些高级攻击。
钓鱼意识培训:定期培训员工识别钓鱼尝试。这包括发现可疑电子邮件,理解常见的钓鱼策略,以及知道如何验证消息的合法性。
模拟钓鱼活动:定期进行模拟钓鱼演习,帮助员工练习识别和应对钓鱼威胁。
多因素认证(MFA):在所有账户上强制执行MFA。即使攻击者获得了密码,MFA提供了额外的安全层。
强大的密码政策:要求复杂的密码,并鼓励使用密码管理器安全地存储和管理它们。
威胁检测系统:使用安全工具监控您的网络内的可疑活动和异常行为。
事件响应计划:制定并定期更新事件响应计划,以确保对潜在的钓鱼攻击或其他安全事件做出迅速反应。
最小权限原则:确保用户只访问其角色所需的信息和系统。限制访问减少了被破坏账户的潜在损害。
定期访问审查:根据角色和责任的变化定期审查和调整访问权限。
验证请求:实施验证请求敏感信息或金融交易的过程,特别是当这些请求通过电子邮件或其他在线方式发出时。
使用加密渠道:确保通过安全、加密的渠道进行敏感通信。
鼓励报告:培养一个环境,员工可以舒适地报告可疑电子邮件或潜在的安全威胁,而不必担心受到惩罚。
安全倡导者:在各部门指定安全倡导者,他们可以在安全事务上提供额外的支持和指导。
钓鱼景象看起来像一个彻底的垃圾火灾,现在是时候面对这个网络混乱的严酷现实了。让我们谈谈统计数据:在2023年第二季度,全球23%的钓鱼攻击直接针对金融机构。
为什么?因为没有什么比您的银行账户更容易成为“简单目标”。紧随其后,社交媒体平台受到了约22.3%的这些数字诈骗的打击。猜猜看?基于Web的软件服务和Webmail服务也在同一条船上,也占攻击的22.3%。它们就像在执行一个任务,破坏我们在线生活的每一个角落。
现在,让我们深入了解Cloudflare所谓的“Phishing Threats Report”,基于惊人的130亿封电子邮件。首先,企业不再只是在收件箱中受到钓鱼攻击——不,它们正在多个渠道受到打击。电子邮件?当然。短信?可能。电话?maybe?
顶级钓鱼策略?欺骗性链接,占威胁的近36%。哦,高兴。所以现在,除了躲避可疑的附件外,你还得小心收件箱中弹出的每一个链接。
而且,为了让您的生活更加有趣,这些攻击通常伪装在一些“可信”品牌的名字下,如Microsoft、Google、Salesforce和Amazon。是的,只有20个品牌是大多数这些计划的背后。就像网络犯罪分子都决定加入同一个诈骗俱乐部一样。
如果你认为勒索软件攻击很糟糕,猜猜看?惊人的35%通过电子邮件传来。没错。您的收件箱现在基本上是一个雷区。
但是等等,还有更多!身份欺诈威胁正在上升,数百万攻击成功绕过了电子邮件认证方法如SPF、DKIM和DMARC。换句话说,你的电子邮件安全协议正被一些非常狡猾的骗子轻松戏弄。
现在让我们根据2023年Verizon数据泄露调查报告(DBIR)来分析钓鱼攻击的原因:
疏忽:这是头号罪魁祸首,在高达98%的违规中出现。基本上,人们只是没有注意,这正在引起混乱。
被盗凭证:这些负责86%的违规。是的,黑客喜欢得到您的密码和登录信息。
误送:向错误的人发送敏感信息是43%违规的一个因素。
社会工程学:这种诡计是17%违规和10%事件的背后。骗子们仍然通过欺骗人们交出他们的信息来谋生。
财务损失:数据泄露正严重影响着人们的钱包,其中7%的案例平均财务损失达到26,000美元。这是联邦调查局2021年平均损失11,500美元的两倍多。
勒索软件:这种恶劣的东西涉及24%的违规。您的数据被扣为人质,变得越来越普遍。
财务动机:惊人的95%的数据泄露是由财务收益驱动的。跟着钱走,对吧?
人为因素:人类是薄弱环节,在74%的违规中发挥作用。这不仅仅是关于技术;还关于人们如何处理它。
抓紧你的键盘,各位,因为网络犯罪分子全力以赴,他们不会休息一天。让我们揭露钓鱼攻击的令人震惊的真相,这使得我们的数字世界成为一个危险的雷区。
让我们谈谈这些恶意袭击的惊人数量足以让任何人头晕目眩。请做好准备:每天惊人的31,000次钓鱼攻击。这不是错别字;这是31,000次欺骗性的电子邮件或消息,旨在诱骗毫无戒心的受害者交出他们的敏感信息。
如果你认为这已经很糟糕了,这里有一个踢腿——钓鱼不仅仅是一些小问题。不,它是一种流行病。根据反钓鱼工作组(APWG),在2022年最后一个季度,仅仅就检测到了惊人的130万个独特的钓鱼网站。这是记录,各位。一个我们宁愿没有的记录。
情况更糟。Verizon 2023年数据泄露调查报告揭示了惊人的36%的所有数据泄露直接与钓鱼攻击有关。这是所有违规的三分之一,考虑到每20秒就有一个新的钓鱼网站像特别讨厌的蘑菇一样冒出来,这并不奇怪。
Digital Guardian的最新发现更加令人清醒。他们发现,在公司中,惊人的90%的安全漏洞是由于钓鱼尝试造成的。用简单的话说,如果你在任何企业环境中工作,有90%的可能性你的安全问题始于一个钓鱼骗局。
猜猜还有什么?所有这些违规的成本?IBM的《数据泄露成本报告》证实,被盗凭证是主要的罪魁祸首,推动了19%的网络攻击。
让我们不要忘记钓鱼操作的规模。网络犯罪分子每天分发惊人的34亿封恶意电子邮件。如果这不是一个警钟,我不知道是什么。
钓鱼是数据泄露的第二大常见原因,也是网络犯罪分子渗透组织的前四种策略之一。超过60%的社会工程攻击与钓鱼有关,所以当你收到一封可疑的电子邮件时,不仅仅是你的收件箱处于风险之中;你的整个组织都是。
这些网络小偷试图冒充谁?常见的嫌疑人都在这里。Microsoft作为被冒充品牌的冠军,紧随其后的是像世界卫生组织、Google和SpaceX这样的重量级人物。名单上还有Salesforce、Apple、Amazon、T-Mobile、YouTube、MasterCard、Notion.so、Comcast和LinePay也成为了这些欺骗策略的受害者。
小企业,请注意:考虑与托管服务提供商合作,以获得额外的保护层。目前,全球所有电子邮件中几乎有1.2%是恶意的——大约每天34亿封钓鱼电子邮件。猜猜看?人为错误是74%违规的一个因素,这要归功于社会工程技巧、错误或完全滥用。
底线是钓鱼不再是一个小规模问题。这是一个全面爆发的危机,而且只会变得更糟。所以,下次你收到一封来自所谓的CEO的电子邮件,要求紧急电汇,或者一个神秘的信息声称你赢得了一个奖项,请记住:这不仅仅是垃圾邮件——这可能是一次潜在的毁灭性钓鱼攻击。
保持警惕,为了网络安全的爱。
长文,会有人看到这里吗?🐶
