Spear网络钓鱼: 主要威胁和趋势 卷。72022年3月 关于最新社会工程策略和攻击日益复杂的关键发现 网络犯罪分子正在不断完善他们的战术,并使他们的攻击更加复杂和难以发现。在这份深入的报告中,梭子鱼研究人员分享了他们对社会工程的最新趋势以及攻击者用来欺骗他们的新方法的见解 受害者。» 目录 主要发现1 13种电子邮件威胁类型继续变得更加复杂2社交工程攻击的目标6 顶级品牌模仿8 账户收购呈上升趋势10 防止鱼叉式网络钓鱼攻击的最佳做法14关于梭子鱼16 关键发现 主要发现 51%社会工程攻击是网络钓鱼 少于100名员工的小型企业的普通员工将获得350%比大型企业的员工更多的社会工程攻击 1in5组织在2021年有一个帐户遭到破坏 1in3恶意登录到受损帐户来了 从尼日利亚 对话劫持几乎增加了270%在2021年 微软是最冒充的品牌,用于 57%网络钓鱼攻击 网络犯罪分子大约妥协了 500,000Microsoft2021年有365个账户 网络罪犯发出 3百万来自12,000个受损帐户的邮件 13种电子邮件威胁类型继续变得更加复杂 多年来,安全供应商一直专注于防止电子邮件攻击,他们为客户构建的防御边界已经有效地阻止了大多数恶意或不需要的电子邮件。但是这种方法已经不够了。 尽管组织可以阻止数百万次攻击,但电子邮件威胁仍在成功,因为它们变得越来越复杂和复杂。随着网络犯罪分子从体积攻击转移到有针对性的攻击,从恶意软件转移到社会工程,从作为单一黑客运营到形成从单一网络钓鱼电子邮件开始的攻击中获利的有组织犯罪企业,正在发生重大转变。 依赖于规则、策略、允许或阻止列表、签名和其他类型的传统电子邮件安全性的电子邮件保护不再有效地抵御不断变化的社会工程攻击的威胁。 黑客使用多种策略来欺骗用户采取行动,例如放弃他们的凭据,以便攻击者可以访问公司的环境,共享可以出售或用于进一步攻击的敏感信息,或者只是发送付款,礼品卡或汇款。 梭子鱼的研究人员已经确定了当今组织面临的13种电子邮件威胁类型,从大量攻击(如垃圾邮件或恶意软件)到使用社交工程的更有针对性的威胁(如商业电子邮件泄露和假冒)。 Less 复杂 更多复杂 恶意软件 URL网络钓鱼鱼叉网络钓鱼 品牌 妥协网络钓鱼 Business电子邮件横向模拟 13种电子邮件威胁类型 垃圾邮件 Data 诈骗 域 勒索 对话 Account 渗滤 模仿 劫持 接管 我们一直在追踪五种不同类别的社会工程攻击 : 商务电子邮件妥协,或者简称BEC,攻击通常涉及在组织内部或外部冒充个人 。在2021年,这些攻击占所有 我们已经看到的社会工程攻击,与前一年大致相同。但是,它们占据了更大的头条。 教育,医疗保健,商业,旅行-每个行业的组织都成为这些攻击之一的受害者,经常损失数百万美元。在典型的BEC攻击中,黑客将 冒充员工,通常是高管,并要求电汇,礼品卡或将钱发送到虚假的慈善机构 。 这些攻击不仅仅针对高调用户。我们之前的报告显示,例如,一个组织的首席财务官和他们部门的其他人一样可能成为目标。 网络钓鱼模拟攻击通常会冒充来自知名品牌或服务的电子邮件,以欺骗受害者点击网络钓鱼链接。这些攻击占我们在过去一年中看到的所有社会工程威胁的51% 。几乎所有属于此类的攻击都将包括恶意URL。尽管网络钓鱼电子邮件并不是什么新鲜事,但黑客已经开始部署巧妙的方法来避免链接保护技术的检测,并将其恶意有效载荷传递到用户的收件箱。它们缩短URL,使用大量重定向,并在文档共享站点上托管恶意链接,所有这些都是为了避免被电子邮件扫描技术阻止。 0.3%对话劫持 9%BEC 2%勒索 37%诈骗 2021年社会工程攻击 黑客开始越来越多地使用网络钓鱼作为其勒索软件攻击的一部分。他们冒充知 名品牌,将受害者引导到网络钓鱼网站并窃取其登录凭据。一旦他们51访%网问络了钓公鱼司的帐户,他们就可以从内部传播勒索软件,从而减少了被检测到的机会。 勒索攻击仅占我们在过去一年中看到的有针对性的网络钓鱼攻击总数的2% 。这些攻击主要是勒索电子邮件威胁,黑客威胁要向受害者的联系人暴露敏感或令人尴尬的内容,除非支付赎金。需求通常是几百美元或几千美元,需要用比特币支付,这很难追踪。在英国,向国家犯罪局报告的性勒索案件数量有所增加。 从2018年到2020年,这一数字将继续增加。 诈骗攻击可以采取许多形式和形式,从彩票中奖和无人认领的资金或包裹的索赔,到商业建议,假招聘,捐赠和其他计划。与上述其他类型的攻击相比,诈骗攻击的针对性较小,但它们占我们在过去一年中检测到的所有社会工程攻击的37%,并且仍然成功。由于黑客利用他们开发的不同类型的骗局进行广泛的网络,这些威胁总共使受害者损失了数亿美元。 例如,在过去的几年中,黑客在他们的骗局中使用了COVID-19。在2021年初,我们看到与疫苗相关的骗局有所增加,并提供了虚假的早期访问服务 疫苗接种,而到2021年底,网络犯罪分子改变了策略,专注于向受害者出售COVID-19测试。 对话劫持也称为供应商冒充,是一种有针对性的电子邮件攻击,其中网络犯罪分子将自己插入现有的业务对话中,或根据他们从受损的电子邮件帐户或其他来源收集的信息发起新的对话。 对话劫持通常是帐户接管攻击的一部分,但并非总是如此。攻击者使用网络钓鱼攻击来窃取登录凭据并破坏商业帐户。然后,他们花时间阅读电子邮件并监视受感染的帐户,以了解业务运营和 了解正在进行的交易、付款程序和其他细节。犯罪分子利用这些信息,包括内部以及员工,合作伙伴和客户之间的外部对话,以制作真实且令人信服的消息 ,从冒充的域发送消息,并诱使受害者汇款或更新付款信息。 至:从 :回复 : Date: !分析 Determination对话劫持 @protonmail.com 2021年3月1日上午11:40 @protonmail.com 主题: 03/01的发票和更新声明 关键指标 !此电子邮件可能是对话劫持攻击 !此电子邮件已部署到域 出现的@protonmail.com 冒充域名gsolutionz.com 你好 请查看随附的到期发票和声明,以引起您的注意。请让您的AP团队处理此问题。 非常感谢! 空白 我们在这里为你! 注意事项:从组织外部分配的电子邮件。在打开附件、单击链接或回复此邮件时,请使用适当的判断和谨慎。 对话劫持仅占我们在过去一年中看到的社会工程攻击的0.3%。然而,即使数量很少,它们也可能对组织造成毁灭性的影响。多年来,对话劫持的总量一直在增长,他们在黑客中的受欢迎程度在2021年翻了一番。这并不令人惊讶,因为尽管这些攻击需要黑客付出很多努力才能进行设置,但支出可能会很大。 2021年的对话劫持攻击 4810 4323 4366 3685 3747 3913 3508 3430 2818 2269 1632 1205 Jan 2月3月4月5月6月7月8月9月10月11月12月 6000 5000 4000 3000 2000 1000 0 社会工程攻击的目标 电子邮件攻击不会因组织的规模而区别对待。拥有2,000多名员工的大型企业比拥有100名以下员工的小型企业受到的商业电子邮件攻击的针对性更强。对所有攻击类型保持警惕对于每个组织都很重要,无论其规模如何。 按组织规模划分的攻击类型 0.30%0.31%0.29%0.20% 40% 9% 2% 49% 0-100 Employees 37% 10% 2% 51% 35% 8% 2% 55% 36% 12% 3% 50% 100-500500-2,000>2,000 EmployeesEmployeesEmployees 对话劫持BEC勒索网络钓鱼诈骗 同样不足为奇的是,大型组织由于其规模将面临更大量的攻击。例如,拥有2,000多名员工的企业每年将遭受超过5,000次社会工程电子邮件攻击。对于员工较少的组织来说,这个数字要小得多。 每个组织的平均社会工程攻击次数 5,215 2,606 1,388 389 #员工 >2,000 500-2,000 100-500 0-100 -1,0002,0003,0004,0005,0006,000 #的攻击 但是,在每个邮箱的攻击量方面,情况则相反。组织越小,其员工成为攻击目标的可能性就越大。实际上,一家员工少于100名的小型企业的普通员工与大型企业的员工相比,中小企业受到的社会工程攻击将比大型企业的员工多350%。中小企业是网络犯罪分子的有吸引力的目标,因为它们共同具有巨大的经济价值,并且通常缺乏安全资源或专业知识。 较小的企业不应忽视对安全的投资 -在技术和用户教育方面。泄露的成本对小企业来说可能更具破坏性。根据网络安全风险投资公司的研究,60%的小企业将在安全漏洞发生六个月后关门 o43%的在线攻击针对小企业,无所事事的成本可能太高。 每个邮箱的平均社交工程攻击次数 5 11 13 17 #员工 >2,000 500-2,000 100-500 0-100 -24681012141618 #的攻击 顶级品牌模仿 拥有知名和可信赖品牌的身份是许多黑客使用的老把戏。我们倾向于期望和信任来自我们最喜欢的品牌的沟通。当涉及到品牌模仿攻击中使用的前10个品牌时,自2019年以来,三个顶级品牌-Microsoft,WeTransfer,DHL-没有改变。 2%eFax 2%Instagram 1%苹果 1%Google 3%LinkedIn 3%DocuSign 57%-Microsoft 6%USPS HL 十大冒充品牌 (2021年10月-12月) nsfer 6%D 17%WeTra 随着79%的组织已经迁移到Microsoft365,还有更多的组织希望在不久的将来这样做,微软品牌仍然是网络犯罪分子的首要目标也就不足为奇了。 从十大冒充品牌来看,微软在57%的网络钓鱼攻击中被使用,比2021年7月的43%大幅上升。黑客正在利用微软基于云的服务和远程工作在过去两年中日益普及的优势。网络犯罪分子将发送虚假安全警报或 帐户更新信息以让受害者点击网络钓鱼链接。这些攻击的目标很简单-窃取登录凭据以访问公司网络。从那里黑客可以发起其他网络钓鱼攻击,包括勒索软件。 发件人: 发送:2021年7月14日,星期三,12:49PM 至:主题: <body 用户: Date:2021年7月14日,星期三 密码到期剩余(0)天使用当前密码继续 保留/更改密码。 支持公司 空白 收 文档现在可用,出于安全原因已加密:文档在24小时内过期。 由 向您发送了一份文件以供审阅。 审查文件 WeTrasfer提供在线文件传输服务,允许用户共享他们可能无法直接通过电子邮件发送的大尺寸文件。该品牌在17%的网络钓鱼攻击中使用。该公司很清楚他们的品牌被用于这些类型的攻击,他们警告他们的用户要保持警惕。组织应将WeTrasfer骗局作为其安全意识培训的一部分。 DocSig模拟仅占网络钓鱼攻击的3%,但这些攻击对组织来说可能是毁灭性的。随着如此多的业务实践转移到网上和云端,获得DocSig进行审查并没有什么不寻常的,所以许多员工不会三思而后行。网络犯罪分子注册虚假的DocSig帐户或破坏已经存在的帐户,然后创建并向受害者发送文件。 进入前10名的其他品牌包括Google,DHL,USPS和LinkedIn。攻击这些帐户中的任何一个都将为黑客提供大量的个人信息,他们可以在进一步的攻击中利用这些信息。 帐户接管在上升 近年来,由于疫情对远程工作和云迁移的影响,Microsoft365的采用加速。如今,Microsoft报告每月活跃用户超过2亿。这种流行并不奇怪,因为Microsoft365提高了生产力和沟通能力 在组织内。员工现在可以连接到他们的电子邮件帐户并从任何地方访问他们的数据。但黑客也可以。访问M