安全企業(yè)Check Point旗下威脅情報部門Check Point Research今日發(fā)布“2022年第三季品牌網(wǎng)絡(luò)釣魚報告”,指出物流業(yè)是品牌網(wǎng)絡(luò)釣魚頭號攻擊目標之一,僅次于科技業(yè);且隨著零售業(yè)即將迎來一年最繁忙的時節(jié),攻擊者可能會特別鎖定網(wǎng)購消費者為目標下手對象。
報告指出,LinkedIn為2022年前兩季最常被冒充的品牌,然而物流公司DHL于第三季飆升至首位,在全球企圖發(fā)動的網(wǎng)絡(luò)釣魚攻擊中占比高達22%;Microsoft位居第二(16%),而LinkedIn則下滑至第三位,僅占本季詐騙案件11%,遠低于第一季(52%)和第二季(45%)表現(xiàn)。
報告說明,DHL成為首要目標可歸咎于一場席卷全球的重大詐騙案和網(wǎng)絡(luò)釣魚攻擊,在第三季初期DHL更曾發(fā)出相關(guān)警告。而繼9月份傳出與“藍勾認證”相關(guān)的網(wǎng)絡(luò)釣魚活動后,本季Instagram也首次出現(xiàn)在前十名榜單中。
Source:Check Point
2022年第三季最常被用于網(wǎng)絡(luò)釣魚攻擊的前十名品牌分別是DHL(22%)、Microsoft(16%)、LinkedIn(11%)、Google(6%)、Netflix(5%)、WeTransfer(5%)、沃爾瑪(Walmart)(5%)、WhatsApp(4%)、匯豐銀行(HSBC)(4%),以及Instagram(3%)
Check Point Software數(shù)據(jù)研究經(jīng)理Omer Dembinsky表示,網(wǎng)絡(luò)釣魚是最常見的社交工程攻擊,指企圖操縱或欺騙用戶等所有企圖發(fā)動的攻擊,為多數(shù)安全事件中常見的威脅手法。
在品牌網(wǎng)絡(luò)釣魚攻擊中,犯罪者會試圖使用與真實網(wǎng)站相似的域名名稱/URL和網(wǎng)頁設(shè)計模仿知名品牌的官方網(wǎng)站。導向詐騙網(wǎng)頁的連接可通過電子郵件或短信發(fā)送給目標對象,并在瀏覽網(wǎng)頁期間被重定向,也可能經(jīng)由詐騙應(yīng)用程序觸發(fā);其中,詐騙網(wǎng)站通常會設(shè)計一個用于竊取用戶憑證、付款明細或其他個人資訊的表單。
Dembinsky指出,第三季中,與LinkedIn相關(guān)的網(wǎng)絡(luò)釣魚嘗試大幅減少,顯示網(wǎng)絡(luò)犯罪者會時常變換策略提升攻擊成功率;不過LinkedIn在常被冒充的品牌中仍排名第三,表示所有用戶仍須謹慎面對任何聲稱來自LinkedIn的電子郵件或消息。目前DHL仍是最可能被冒充的品牌,建議收件人利用官方網(wǎng)站查看物流進度及通知,切勿輕信任何電子郵件,尤其是要求共享資訊的消息。
(首圖來源:pixabay)