深信服科技：2023网络钓鱼趋势分析报告

2023网络钓鱼趋势分析报告 2R0E2P3OPRHTISHINGTRENDANALYSIS 千里目-深盾终端实验室 录目 概述01 摘要01 数字里的网络钓鱼03 2023，网络钓鱼事件数量持续攀升03 2023，网络钓鱼攻击呈现季节波动特征04 2023，网络钓鱼攻击行业分布集中05 2023，中小型企业面对网络钓鱼的挑战更大06 2023，网络钓鱼攻击渠道多样07 2023，钓鱼文件“术业有专攻”08 重点行业钓鱼分析09 制造行业09 政府机构10 医疗行业10 教育行业11 金融行业11 2023年网络钓鱼的主要特点12 邮件依旧是传播钓鱼的主力12 案例一12 案例二13 利用即时通讯软件钓鱼14 即时通讯软件钓鱼案例14 二维码钓鱼的广泛使用15 二维码钓鱼案例15 商务邮件泄露导致经济损失16 BEC钓鱼案例16 双/多因素认证的绕过17 双/多因素认证的绕过钓鱼案例18 GPT与网络钓鱼19 钓鱼GPT的快速发展19 GPT与钓鱼的攻与防20 2023典型钓鱼案例分析21 网络钓鱼防御术23 面向大型单位内部防钓鱼的建议24 深信服防钓鱼安全能力全景25 预防⸺提升安全意识，提高钓鱼难度25 终端防御⸺解决邮件、文件、网站、U盘钓鱼问题26 边界防御⸺解决钓鱼URL，钓鱼反联问题26 深信服防钓鱼核心技术26 GPT赋能防钓鱼27 总结与展望28 概述 随着互联网的快速发展和广泛应用，网络钓鱼活动带来的安全隐患愈演愈烈。因应威胁发展，我们编撰了此份分析报告，旨在全面了解其发展态势，并提醒相关部门、企业和公众加强防范。 在本报告中，我们将详细梳理网络钓鱼的近况，探讨当前的防范策略和技术手段，并提出一些建议供参考。我们认为，要有效对抗网络钓鱼威胁，需要综合采取加强技术防范、提高公众安全意识、加强法律法规建设等多方面措施。只有通过全社会的共同努力，才能有效遏制网络钓鱼的蔓延，守护个人和企业的信息安全。 本报告除明确注明来源以外，数据均来自深信服千里目安全技术中心深盾终端实验室，目的仅为帮助客户及时了解中国或其他地区网络钓鱼的最新动态和发展，仅供参考。 本报告中所含内容乃一般性信息，不应被视为任何意义上的决策意见或依据，任何深信服科技股份有限公司的关联机构、附属机构（统称为“深信服股份”）并不因此构成提供任何专业建议或服务。 摘要 快速增长的网络钓鱼数量 根据SlashNext公司的报告显示，2023年网络钓鱼数量较2022年大幅增长。数据显示，自2022年第四季度至2023年第三季度，网络钓鱼邮件数量增加了1265%，平均每天发送了约31,000封网络钓鱼攻击邮件。此外，针对凭证的网络钓鱼攻击数量增加了967%。这些数据表明网络钓鱼攻击呈现快速增长趋势，给网络安全带来严重威胁。 012023网络钓鱼趋势分析报告 攻击技术的快速演进 攻击技术的快速演进是网络安全领域的一大特点。钓鱼作为主要的获取初始访问权限的手段，攻击者不断调整钓鱼内容和形式，使其更具真实性和诱惑力。同时，攻击者也在探索新的攻击途径，如社交工程获取账号密码，或利用供应链渗透进入目标网络。 此外，使用的恶意附件越来越多样化。除了传统方式外，攻击者还采用了诸如Python、golang等语言编译的可执行程序，以及二维码诱导扫描等新手法。尽管防御技术不断提升，但攻击者的技术和动机也在增强。因此，企业安全防护依然面临严峻挑战。 不断扩宽的攻击渠道 钓鱼邮件和钓鱼网站仍然是最常见的钓鱼手段。犯罪分子制作出逼真的网站或发送包含恶意链接的电子邮件，诱使用户泄露个人信息或点击链接。随着社交软件的普及，利用这些平台进行钓鱼攻击也日益增多。同时，手机钓鱼也成为新兴领域。通过短信或应用程序进行钓鱼，成功率更高，因为用户在手机上打开链接的警惕性较低。这给防范工作带来了新挑战。利用新兴技术如云服务、加密货币进行钓鱼活动也有所增加。网络钓鱼已从最初的邮件发展到利用移动互联网、社交网络及新技术的多渠道复合型攻击。这给广大网络用户的信息安全带来前所未有的威胁。需要加强技术防护，提升全民安全意识。 针对凭据的钓鱼更为复杂 凭据钓鱼通常发生在仿真网站或其他表单中，要求用户输入账号密码。攻击者通过仿制知名网站的登录页面，包括页面设计、颜色和标志等，使用户难以辨别虚假性。这种高度仿真的伪装让用户误以为他们在与正规网站互动，因此输入敏感凭据。攻击者利用社会工程学手段提高攻击成功率，通过钓鱼邮件或消息使用紧急语言，制造紧急处理氛围，迫使用户匆忙操作而不经思考，增加用户受骗可能性。此外，攻击者可能通过欺骗用户提供多因素身份验证的令牌或验证码，绕过传统凭据防护手段。随着人工智能介入，攻击者开始使用自动化工具生成个性化的钓鱼攻击，根据目标用户特征生成更具针对性的虚假页面或信息，提高攻击成功率。 共同驱动的经济和政治目的 当前，一些网络犯罪分子为了谋取经济利益而积极从事网络犯罪活动。同时，地缘政治紧张局势也在一定程度上推动了网络战争的发展，使得钓鱼攻击等网络犯罪表现出更为复杂和多层次的特征。在过去的2023年，钓鱼攻击作为一种网络犯罪手段，受到了经济和政治目的的共同驱动的影响，呈现出多层次的复杂性。攻击者利用经济不景气的时机更积极地开展网络犯罪，而地缘政治紧张局势则为这些犯罪提供了更多的可乘之机。网络钓鱼攻击不仅仅是为了获取经济利益，还可能与政治渗透、信息操控等活动相结合，对国家和个人的安全构成威胁。 2023网络钓鱼趋势分析报告02 数字里的网络钓鱼 2023，网络钓鱼事件数量持续攀升 随着世界格局走向多极化和经济承压前行，网络犯罪数量开始上升。据深信服千里目安全技术中心统计，2023年网络钓鱼攻击事件总数约为16亿起，同比增长166%，较2022年的9.6亿起有显著增长。 18 16 14 12 10 8 6 4 2 0 2019年 2020年 2021年 2022年 2023年 钓鱼数量（单位：亿起） 近5年来，网络钓鱼攻击呈现上升趋势，年复合增长率约为15%，增速较快。2023年由于政治和经济原因，增速相对较快。随着互联网用户规模扩大和攻击技术升级，未来这种攻击形式可能持续活跃，但增速应有所缓和。 2023，网络钓鱼攻击呈现季节波动特征 2023年网络钓鱼攻击呈现季节波动特征，整体仍处于高发状态，安全防范任务依然紧迫。 6.0 5.0 4.0 3.0 2.0 1.0 0.0 2023Q1 2023Q2 2023Q3 2023Q4 钓鱼数量（单位：亿起） 根据深信服千里目安全技术中心统计，一季度攻击数量高达5.6亿起，较为突出。二季度数量急剧下降至1.8亿起，同比下降近68%，达到近年低点，可能与热点事件较少有关。三季度攻击数量激增至4.9亿起，环比增长超过173%，重回高水平。四季度攻击量为3.6亿起，属中上水平，略低于高峰三季度，但仍高于一季度。年末效应带来小高峰。针对这一现象，建议加强热点期的防护力度，利用间歇窗口进行改进，适应网络钓鱼攻击的周期性高发特点。 2023，网络钓鱼攻击行业分布集中 2023年，制造业、服务业、政府部门、医疗行业和教育行业等行业都面临网络钓鱼攻击的威胁。 深信服千里目安全技术中心针对不同行业的网络钓鱼攻击次数进行统计，结果显示制造业占比最高，达27.5%，可能是因为该行业的网络环境复杂，安全防护相对薄弱。服务业排名第二，占比为15.6%，这可能与该行业员工众多，信息安全培训不够有关。政府部门排名第三，占比为11.6%，由于数据资产和业务管理敏感易成为攻击目标。医疗行业占比为9.2%，也面临类似威胁。教育行业占比为8.4%，可能由于员工信息安全意识和防护技能普遍偏弱。其他行业如研究、批发、互联网、建筑和金融等受攻击比例较低，但仍存在一定风险。 27.5% 15.6% 17% 1.8% 11.6% 1.9% 1.9% 2.4% 9.2% 2.7% 8.4% 制造业服务业政府医疗教育 研究和教育发展 批发业互联网建筑业金融其他 因此，各行业都应重视网络钓鱼攻击这一共性安全威胁，根据自身业务环境和系统漏洞特点，有针对地提升员工警惕性，并全面加强安全防护措施。 2023，中小型企业面对网络钓鱼的挑战更大 >10000人 7900-7999人 7%100-199人 7%50-99人 5%500-599人 5%300-399人 5%600-699人 5%400-499人 4% 3% 5500-5599人 3400-3499人 3100-3199人 2000-2099人 1900-1999人 1800-1899人 3% 1700-1799人 2% 1600-1699人 22% 1500-1599人 1200-1299人 1100-1199人 9%200-299人 2% 1000-1099人 900-999人 20%<50人 1%1%1%1%1% 1%1% 2% 1% 2% 800-899人 700-799人 600-699人 500-599人 400-499人 300-399人 200-299人 100-199人 50-99人 <50人 根据我们对受钓鱼攻击成功企业的统计发现，中小型企业遭受钓鱼攻击最为频繁，其次是超大型企业，而大型企业受到的钓鱼攻击次数相对较少。我们推测这种现象可能源于几个关键因素。首先，中小型企业由于经济实力有限，难以全面投入安全防护，加上员工的安全意识相对薄弱，使得他们更容易被钓鱼攻陷。其次，对于超大型企业而言，规模庞大且员工众多，难以确保每位员工都能对钓鱼威胁保持高度警惕，使得这些企业也容易被钓鱼攻击成功。而大型企业通常具备相对完善的安全建设，员工也具备一定的安全意识，因此被钓鱼成功的几率较低。 2023，网络钓鱼攻击渠道多样 根据我们对网络钓鱼攻击渠道的监测统计显示，电子邮件仍然是网络犯罪分子传递恶意载荷的主要方式，占比高达35.2%，且呈上升趋势。这主要是因为电子邮件具有普及度高、易于大规模传播等优势，自动化攻击逐步完善。短信和彩信渠道目前占比约为15%，近年来随着移动终端普及和数据泄露增加，该渠道的攻击数量也在上升。 此外，根据数据显示，创建钓鱼网站进行欺诈、利用搜索引擎投放诱导广告、利用社交网络和即时通讯软件发起钓鱼活动也成为重要的网络钓鱼手段，占比分别为13.4%，12.8%，10%。网络钓鱼攻击正试图渗透覆盖互联网几乎所有主要社交媒介渠道。 13.6% 35.2% 10% 12.8% 邮件钓鱼短信/彩信网站钓鱼搜索引擎社交媒体其他 13.4% 15% 因此，相关企业和用户需要提高对电子邮件、短信、第三方网站、社交软件等多个维度安全风险的认识，做到全方位防范。仅仅依赖于某一渠道的安全措施是远远不够的。 2023，钓鱼文件“术业有专攻” dll12% doc9% exe38% js2%pdf2% html5% vbs4%excel4% msi4% zip4%dat3% xls3%docx3% powershell3% 在网络钓鱼活动中，犯罪分子使用最多的文件类型包括exe、dll、doc、html和vbs等。根据监测统计，这些文件形式的钓鱼出现频率较高。不同类型文件的利用方式也不尽相同：exe和dll用于运行并安装木马程序，html和vbs用于钓鱼网站攻击或者通过html、vbs文件释放/下载其他文件，而doc经常用于针对用户的社会工程学诈骗或漏洞攻击。各种文件类型可以互相配合，发挥综合效果。 重点行业钓鱼分析 制造行业 当前网络环境下，制造业面临着愈演愈烈的网络钓鱼攻击威胁。这些攻击可能伪装成供应链伙伴、发送虚假订单或内部通知，以获取敏感信息或入侵内部系统。为了应对这一威胁，制造业需要实施多层次的防御措施。 2023年4月份，奥地利一家实验室仪器和过程测量系统制造商收到了勒索组织BlackBasta发来的钓鱼邮件。 随后，攻击者加密了该公司约10%的内部PC和服务器，