美国全球云安全巨头 Zscaler 的最新研究显示,2021 年网络钓鱼攻击增长超过 400%, 其中零售和批发行业受影响最大. ThreatLabz 仪表板年度报告揭示了针对全球关键行业和消费者的网络钓鱼即服务的主要攻击来源.
Z缩放器, 公司, 云安全领域的领导者, 今天发布了 2022 年 ThreatLabz 网络钓鱼报告的调查结果,该报告检查了 12 个月的全球网络钓鱼数据, 来自 Zscaler 的 100% 云安全平台, 为了确定主要趋势, 面临风险的部门和地理区域, 以及新兴的战术. 据网络犯罪投诉部门称 (网络犯罪投诉中心 – IC3) 联邦调查局的, 网络钓鱼尝试是最常报告的网络攻击. Zscaler 的 ThreatLabz 研究团队分析了每天超过 2000 亿笔交易和 1.5 亿次被阻止的攻击的数据, 识别新出现的威胁并跟踪世界各地的恶意行为者. 2022 年报告显示网络钓鱼攻击与往年相比大幅增长 29%, 零售和批发企业受到这一急剧增长的影响最大. 该报告还显示了网络钓鱼即服务方法的新兴使用。, 以及新攻击媒介的出现, 例如短信钓鱼, 正在成为最广泛的入侵方法之一.
恶性肿瘤工程
网络钓鱼长期以来一直是技术最先进的威胁行为者发起的网络攻击最喜欢的策略之一, 非技术网络犯罪分子越来越容易利用它, 随着攻击框架和服务的地下市场的增长. 通过在暗网上销售现成的网络钓鱼工具和服务, 网络犯罪分子促进网络钓鱼诈骗的大规模部署, 为 2022 年网络钓鱼活动可能增加创造条件. 进入门槛低是此类攻击逐年增加的原因之一. 网络犯罪分子依赖时事, 例如 Covid-19 大流行或加密货币, 说服不知情的受害者交出机密数据 (密码, 信用卡信息和登录凭据). ThreatLabz 2022 年网络钓鱼报告显示网络钓鱼攻击通过冒充大品牌或利用时事来引诱受害者. 2021年, 网络钓鱼主要在非法流媒体网站上发展, 购物网站, 社交媒体平台, 即使在金融机构和物流服务领域.
勒索软件和数据盗窃的危险
“网络钓鱼攻击频繁地影响企业和消费者, 惊人的复杂性和规模, “网络钓鱼即服务”的兴起使得比以往任何时候都更容易毫无戒心的攻击者发起成功的攻击. 我们的年度报告强调了网络犯罪分子如何继续加大网络钓鱼的使用力度,以此为起点闯入组织以传播勒索软件或窃取敏感数据。”Deepen Desai 说道, Zscaler 首席信息安全官兼安全研究和运营副总裁. “防御高级网络钓鱼攻击, 企业必须依靠基于云原生零信任平台*的多管齐下的防御策略,该策略将全面的 SSL 检查与 AI/ML 驱动的检测相结合**. 此策略有助于阻止最复杂的网络钓鱼尝试和工具包, 横向移动预防和内置欺骗,以限制受感染用户的爆炸半径, 还可以采取主动控制措施来阻止高风险目的地,例如经常被威胁行为者滥用的新注册域名, 和在线 DLP*** 以防止数据被盗. »
全球性问题
2021年, 美国是全球最受攻击的国家, 占 Zscaler 100% 云安全平台拦截的所有网络钓鱼攻击的 60% 以上. 接下来是新加坡, 德国, 荷兰和英国. 并非所有国家都受到网络钓鱼者的同样关注. 例如, 荷兰的攻击次数下降了 38%, 也许是由于最近通过了加强对网络欺诈的处罚的立法. 网络钓鱼攻击也没有以相同的强度针对所有部门。. 零售和批发公司的网络钓鱼尝试增加了 400% 以上, 是最重要的, 所有部门合并. 然后我们找到金融和公共部门, 平均攻击次数增加超过 100%. 然而,去年一些行业部分幸免于网络钓鱼攻击. 卫生部门因此显着下降了 59%。, 而服务业则下降了 33%.
反网络钓鱼攻击
根据 Zscaler 的 ThreatLabz 研究团队的说法, 一家中型组织每天收到数十封网络钓鱼电子邮件. 这意味着员工, 在各个级别, 必须熟悉最常见的网络钓鱼策略,并接受培训以发现可能导致财务损失和损害公司形象的网络钓鱼尝试. 如果无法消除网络钓鱼风险, 有效的管理可以防止关键业务信息落入网络犯罪分子手中. Zscaler 特别推荐以下策略来应对网络钓鱼的发展 :
– 识别并了解网络钓鱼带来的风险,以便更好地为政治和技术决策提供信息
– 利用自动化工具和可操作的信息为员工提供减少网络钓鱼事件所需的工具.
– 确保及时对员工进行培训, 提高安全意识并促进用户报告.
– 模拟网络钓鱼攻击以识别安全策略和程序中的漏洞.
– 评估安全基础设施以确保获得最新的研究和系统功能.
方法
ThreatLabz 团队分析了来自 Zscaler 安全云的数据. ThreatLabz 分析了来自 Zscaler 云的一年全球网络钓鱼数据, 从2021年1月到2021年12月, 为了确定主要趋势, 面临风险的部门和地理区域, 以及新兴的战术. 单击此链接可以查看该文档的全文 : ThreatLabz 2022 年网络钓鱼报告
* 零信任 : 致力于保护数据访问的非周边架构概念, 资源和服务.
** IA/ML : 人工智能/机器学习.
*** 数字光处理 : 数据丢失防护 : 数据丢失预防.
