PhishLabs:金融業的釣魚攻擊大幅增長,入侵現有網站成為釣魚活動首選策略
根據Fortra PhishLabs 第三季度的最新資料顯示,近80% 的威脅行為者在構建釣魚網站時選擇入侵現有網站或濫用免費工具的策略。 雖然入侵網站在釣魚攻擊所用策略中佔比最大,但在第三季度,URL 縮短程式、免費域名註冊和開發人員工具的濫用行為都有所增加,這表明犯罪分子對建立無成本投入的惡意基礎設施的興趣有增無減。
每個季度,Agari 和PhishLabs 都會檢測到數十萬起針對企業、企業品牌及其員工的網路釣魚和社交媒體攻擊。在這篇文章中,我們分析了針對企業、他們的品牌和客戶的網路釣魚活動。
在第三季度,網路釣魚活動數量環比增加,其中在9 月份攻擊活動數量突破今年第二高。本季度的網路釣魚數量與去年同期類似,夏季有所下降,秋季有所上升。與2022 年第二季度相比,整體釣魚活動下降了15.26% , 但隨著年底的臨近,網路釣魚數量呈上升趨勢。
易受攻擊的目標行業
易受釣魚攻擊的目標行業
2022 年第三季度,金融機構是最易遭受假冒的行業,佔釣魚攻擊網站數量的52.3% ,比第二季度增長了10% 以上,是所有行業中釣魚活動增幅最大的。 金融業一直遭受的主要是憑據竊取攻擊。
社交媒體佔第三季度攻擊量的近四分之一,超過了之前排名第二的電信業。雖然社交媒體攻擊量略微增長了 3.1% ,但冒充電信的網路釣魚網站下降了近13% ,僅佔總體攻擊的10.1% 。第三季度,電信業的釣魚攻擊量降幅最大。
針對網路郵件、電子商務和雲端儲存的釣魚攻擊總佔比不到11% ,其中 釣魚郵件(5.6%) 和濫用雲端儲存(2.0%) 的數量均低於第二季度,分別降低了2.2% 和0.5% 。電子商務相比第二季度增長了0.1% ,佔網路釣魚活動的3.1% 。
釣魚網站攻擊策略
釣魚網站攻擊策略
第三季度,79.9% 的釣魚網站是透過入侵現有網站或濫用免費服務和工具來實施的。入侵現有網站是實施網路釣魚活動的首選策略,佔總量的39.3% 。 雖然從第二季度開始,攻擊現有網站的數量有所下降,但它始終是不法分子發起攻擊的首選方法。
到目前為止,犯罪分子濫用付費 域名註冊 的情況在2022 年環比增長。在第三季度中,利用付費域名註冊發起網路釣魚攻擊的次數佔20.1% ,比第二季度增加了3% 。
使用免費工具和服務的方法僅佔釣魚攻擊的40% 以上,其中URL 縮短程式佔比最高。三季度中,不法分子濫用URL 縮短程式的行為增加了4.4% ,佔到總量的13.4% ,比今年年初增長了一倍之多。
免費域名註冊和開發者工具的濫用也有所增加,分別佔到8.7% 和3.7% 。
免費託管服務 (10.5%) 和隧道服務 (4.3%) 在第三季度均有所下降。
頂級域名濫用
釣魚網站常用的域名型別
在第三季度, 58.1% 的網路釣魚網站使用了傳統通用頂級域名 (gTLD) 。 雖然在頂級域名中,傳統通用頂級域名一直遭受最嚴重的濫用,但該類別的佔比份額已連續兩個季度下降。
傳統的頂級域名 .com 是第三季度濫用率最高的域名,佔總量的48% 以上。 這比第二季度增長了1.5% 。傳統 .org 和 .net 位居第二和第四位,濫用率均有所下降。
釣魚網站使用國家程式碼頂級域名(ccTLD) 活動在第三季度有所下降,佔總量的32.3% 。濫用率最高的國家頂級域名是 .mx ,也是濫用率排名前十的頂級域名的新成員,在所有頂級域名中位列第三。
雖然新通用頂級域名的整體佔比增加了2% 以上,但此類中沒有一個新通用頂級域名進入前十。新通用頂級域名在頂級域名濫用量中僅佔9.5% 。
隨著企業臨近年底,網路釣魚活動呈上升趨勢。雖然第三季度的活動顯示攻擊量較第二季度有所下降,但2022 年的大部分攻擊活動策略都與去年的模式相同。企業應積極優先檢測惡意網站和犯罪分子用來支援其基礎設施的元件,持續監控針對其品牌的可疑活動。此外,安全團隊應該與供應商建立良好的合作關係,提升應對威脅時快速處理和即時補救的能力。
翻譯:銳成資訊;來源:PhishLabs
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69998338/viewspace-2923627/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 網路釣魚攻擊
- 網路釣魚是什麼?網路釣魚攻擊的形式有哪些?
- 釣魚攻擊時間軸,你知道常見的釣魚攻擊有哪些嗎
- 釣魚攻擊防不勝防,該如何預防網路釣魚攻擊?
- DNS欺騙:網站克隆實現網站釣魚攻擊DNS網站
- 釣魚篇-網路釣魚
- 釣魚釣魚去
- GoogleTalk被黑客利用發動釣魚攻擊Go黑客
- 郵件釣魚攻擊與溯源
- 【釣魚攻擊】外貿白領:比“貿易戰”更頭疼的釣魚攻擊來襲!
- 釣魚篇-其他釣魚
- 常見網路釣魚攻擊有哪些?如何識別?
- 釣魚篇-郵件釣魚
- 釣魚網站與反釣魚技術剖析(圓桌會議)網站
- 釣魚篇-其他型別釣魚型別
- 網路釣魚攻擊常用方法及防禦措施!
- 網路釣魚攻擊常見手段及防範措施!
- 關注重要的Azure網路釣魚攻擊及對策
- “!提醒:續購防毒”釣魚網站套路防毒網站
- 如何防範釣魚網站詐騙?網站
- 網路釣魚攻擊常用方法是什麼?如何防護?
- Darktrace:報告稱ChatGPT等生成式AI導致網路釣魚郵件攻擊增長135%ChatGPTAI
- 釣魚學習
- XSS漏洞釣魚
- 常見的5種網路釣魚攻擊型別及防禦措施!型別
- 打擊釣魚網站 谷歌Chrome即將會警告域名相似的網站網站谷歌Chrome
- 什麼是魚叉式網路釣魚?常見的方式有哪些?
- 釣魚小技巧-XLM
- 揭秘駭客新招:如何利用PDF釣魚攻擊使用者?
- 谷歌帳戶獲得新的驗證功能 以防止網路釣魚攻擊谷歌
- 釣魚?這是反代理!
- Trustwave:駭客正在利用人工智慧改進網路釣魚攻擊方式Rust人工智慧
- 2021年Q3全球各行業網路釣魚攻擊份額(附原資料表) 行業
- Proofpoint:2024年網路釣魚報告
- 透過.PAC進行網路釣魚
- 抖音國際版成為網路釣魚詐騙新目標
- 再次捕獲!重保期間攔截針對Coremail的釣魚攻擊REMAI
- 2019 年網際網路安全報告:黑客釣魚有新招黑客