2023網(wǎng)絡(luò)釣魚趨勢分析報告

深信服千里sangforDeepINsight深信服智安全SANG深信服千里sangforDeepINsight深信服智安全2023網(wǎng)絡(luò)釣魚趨勢分析報告2023PHISHINGTRENDANALYSISREPORT千里目千里目-深盾終端實驗室錄概述摘要01數(shù)字里的網(wǎng)絡(luò)釣魚03概述摘要01數(shù)字里的網(wǎng)絡(luò)釣魚032023，網(wǎng)絡(luò)釣魚事件數(shù)量持續(xù)攀升032023，網(wǎng)絡(luò)釣魚攻擊呈現(xiàn)季節(jié)波動特征042023，網(wǎng)絡(luò)釣魚攻擊行業(yè)分布集中052023，中小型企業(yè)面對網(wǎng)絡(luò)釣魚的挑戰(zhàn)更大062023，網(wǎng)絡(luò)釣魚攻擊渠道多樣07重點行業(yè)釣魚分析09制造行業(yè)09政府機構(gòu)10醫(yī)療行業(yè)10教育行業(yè)11金融行業(yè)112023年網(wǎng)絡(luò)釣魚的主要特點12郵件依舊是傳播釣魚的主力12案例一12案例二13利用即時通訊軟件釣魚14即時通訊軟件釣魚案例14二維碼釣魚的廣泛使用15二維碼釣魚案例15商務(wù)郵件泄露導(dǎo)致經(jīng)濟損失商務(wù)郵件泄露導(dǎo)致經(jīng)濟損失16BEC釣魚案例16雙/多因素認證的繞過17雙/多因素認證的繞過釣魚案例18GPT與網(wǎng)絡(luò)釣魚19釣魚GPT的快速發(fā)展19GPT與釣魚的攻與防202023典型釣魚案例分析21網(wǎng)絡(luò)釣魚防御術(shù)23面向大型單位內(nèi)部防釣魚的建議24深信服防釣魚安全能力全景25預(yù)防?提升安全意識，提高釣魚難度25終端防御?解決郵件、文件、網(wǎng)站、U盤釣魚問題26邊界防御?解決釣魚URL，釣魚反聯(lián)問題26深信服防釣魚核心技術(shù)26GPT賦能防釣魚27總結(jié)與展望28隨著互聯(lián)網(wǎng)的快速發(fā)展和廣泛應(yīng)用，網(wǎng)絡(luò)釣魚活動帶來的安全隱患愈演愈烈。因應(yīng)威脅發(fā)展，我在本報告中，我們將詳細梳理網(wǎng)絡(luò)釣魚的近況，探討當(dāng)前的防范策略和技術(shù)手段，并提出一些建加強法律法規(guī)建設(shè)等多方面措施。只有通過全社會的共同努力，才能有效遏制網(wǎng)絡(luò)釣魚的蔓延，本報告除明確注明來源以外，數(shù)據(jù)均來自深信服千里目安全技術(shù)中心深盾終端實驗室，目的僅為本報告中所含內(nèi)容乃一般性信息，不應(yīng)被視為任何意義上的決策意見或依據(jù)，任何深信服科技股網(wǎng)絡(luò)釣魚攻擊郵件。此外，針對憑證的網(wǎng)絡(luò)釣魚攻擊數(shù)量增加了960101攻擊技術(shù)的快速演進是網(wǎng)絡(luò)安全領(lǐng)域的一大特點。釣魚作為主要的獲取初始訪問權(quán)限的手段，攻擊者不斷調(diào)整釣魚內(nèi)容和形式，使其更具真實性和誘惑力。同時，攻擊者也在探索新的攻擊途徑，此外，使用的惡意附件越來越多樣化。除了傳統(tǒng)方式外，攻擊者還采用了諸如Python、golang等語言編譯的可執(zhí)行程序，以及二維碼誘導(dǎo)掃描等新手法。盡管防御技術(shù)不斷提升，但攻擊者的釣魚郵件和釣魚網(wǎng)站仍然是最常見的釣魚手段。犯罪分子制作出逼真的網(wǎng)站或發(fā)送包含惡意鏈接的電子郵件，誘使用戶泄露個人信息或點擊鏈接。隨著社交軟件的普及，利用這些平臺進行釣魚攻擊也日益增多。同時，手機釣魚也成為新興領(lǐng)域。通過短信或應(yīng)用程序進行釣魚，成功率更高，因為用戶在手機上打開鏈接的警惕性較低。這給防范工作帶來了新挑戰(zhàn)。利用新興技術(shù)如云服務(wù)、加密貨幣進行釣魚活動也有所增加。網(wǎng)絡(luò)釣魚已從最初的郵件發(fā)展到利用移動互聯(lián)網(wǎng)、社交網(wǎng)絡(luò)及新技術(shù)的多渠道復(fù)合型攻擊。這給廣大網(wǎng)絡(luò)用戶的信息安全帶來前所未有的威脅。需要加強技憑據(jù)釣魚通常發(fā)生在仿真網(wǎng)站或其他表單中，要求用戶輸入賬號密碼。攻擊者通過仿制知名網(wǎng)站的登錄頁面，包括頁面設(shè)計、顏色和標志等，使用戶難以辨別虛假性。這種高度仿真的偽裝讓用通過釣魚郵件或消息使用緊急語言，制造緊急處理氛圍，迫使用戶匆忙操作而不經(jīng)思考，增加用戶受騙可能性。此外，攻擊者可能通過欺騙用戶提供多因素身份驗證的令牌或驗證碼，繞過傳統(tǒng)憑據(jù)防護手段。隨著人工智能介入，攻擊者開始使用自動化工具生成個性化的釣魚攻擊，根據(jù)目當(dāng)前，一些網(wǎng)絡(luò)犯罪分子為了謀取經(jīng)濟利益而積極從事網(wǎng)絡(luò)犯罪活動。同時，地緣政治緊張局勢也在一定程度上推動了網(wǎng)絡(luò)戰(zhàn)爭的發(fā)展，使得釣魚攻擊等網(wǎng)絡(luò)犯罪表現(xiàn)出更為復(fù)雜和多層次的特呈現(xiàn)出多層次的復(fù)雜性。攻擊者利用經(jīng)濟不景氣的時機更積極地開展網(wǎng)絡(luò)犯罪，而地緣政治緊張局勢則為這些犯罪提供了更多的可乘之機。網(wǎng)絡(luò)釣魚攻擊不僅僅是為了獲取經(jīng)濟利益，還可能與0202隨著世界格局走向多極化和經(jīng)濟承壓前行，網(wǎng)絡(luò)犯罪數(shù)量開始上升。據(jù)深信服千里目安全技術(shù)中心統(tǒng)計，2023年網(wǎng)絡(luò)釣864200303四季度攻擊量為3.6億起，屬中上水平，略低于高峰三季0404深信服千里目安全技術(shù)中心針對不同行業(yè)的網(wǎng)絡(luò)釣魚攻擊次數(shù)進行統(tǒng)計，結(jié)果顯為該行業(yè)的網(wǎng)絡(luò)環(huán)境復(fù)雜，安全防護相對薄弱。服務(wù)業(yè)排名第二因此，各行業(yè)都應(yīng)重視網(wǎng)絡(luò)釣魚攻擊這一共性安全威脅，根據(jù)自身業(yè)務(wù)環(huán)境和系統(tǒng)漏洞特點，有針對地提升員工警惕性， 0505根據(jù)我們對受釣魚攻擊成功企業(yè)的統(tǒng)計發(fā)現(xiàn)，中小型企業(yè)遭受釣魚攻擊最為頻繁，其次是超大型企業(yè)，而大型企業(yè)受到的釣魚攻擊次數(shù)相對較少。我們推測這種現(xiàn)象可能源于幾個關(guān)鍵因素。首先，中小型企業(yè)由于經(jīng)濟實力有限，難以全面投入難以確保每位員工都能對釣魚威脅保持高度警惕，使得這些企業(yè)也容易被釣魚攻擊成功。而大型企業(yè)通常具備相對完善的 2%0606根據(jù)我們對網(wǎng)絡(luò)釣魚攻擊渠道的監(jiān)測統(tǒng)計顯示，電子郵件仍然是網(wǎng)絡(luò)犯罪分子傳遞惡意載荷的主要方式，占比高達35.2%，且呈上升趨勢。這主要是因為電子郵件具有普及度高、易于大規(guī)模傳播等優(yōu)勢，自動化攻擊逐步完善。短信和彩此外，根據(jù)數(shù)據(jù)顯示，創(chuàng)建釣魚網(wǎng)站進行欺詐、利用搜索引擎投放誘導(dǎo)廣告、利用社交網(wǎng)絡(luò)和即時通訊軟件發(fā)起釣魚活動12.8%/0707釣魚出現(xiàn)頻率較高。不同類型文件的利用方式也不盡相同：exe和dll用于運行并安裝木馬程序，js2%js2%0808首先，通過分析過去的網(wǎng)絡(luò)釣魚攻擊案例，了解攻擊者的模式和目標，制定有針對性的防御策略。其次，實施行為異常檢測機制，監(jiān)控供應(yīng)鏈成員的行為模式，及時識別和應(yīng)對異常操作。定期進行釣魚攻擊模擬和培訓(xùn)，提高員工對釣魚攻擊的另外，強化與供應(yīng)鏈合作伙伴的安全合作至關(guān)重要，可以確保整個供應(yīng)鏈的安全性。制造業(yè)應(yīng)綜合運用技術(shù)防御、持續(xù)的教育培訓(xùn)和合作伙伴管理，構(gòu)建全方位的網(wǎng)絡(luò)八八0909政府部門作為國家的重要機關(guān)，掌握著大量敏感數(shù)據(jù)，如公民個人信息和行政審批數(shù)據(jù)，成為網(wǎng)絡(luò)釣魚攻擊的主要目標之一并非意外。數(shù)據(jù)顯示，政府系統(tǒng)和公共部門遭受相關(guān)威我們推測政府部門受到針對主要有以下原因：首先，政府部門廣泛掌握著國計民生的大量敏感數(shù)據(jù)，這些數(shù)據(jù)在黑灰產(chǎn)市場具有極高的價值。其次，政府信息系統(tǒng)長期以來相對封閉，對外部網(wǎng)絡(luò)環(huán)境缺乏充分的安全監(jiān)控。作為網(wǎng)絡(luò)空間主權(quán)的維護者，政府的網(wǎng)絡(luò)防御意識和技術(shù)防線依然需要不斷強化。第三，政府公務(wù)人員作為重要信息接收和處理者，普遍缺乏應(yīng)有的網(wǎng)絡(luò)欺詐識別能力和安全防范意識，這為各類定制化社會工程欺詐攻擊提供了可乘之機。因此，相關(guān)部門有必要從加強政務(wù)信息系統(tǒng)的云安全防護、實施網(wǎng)絡(luò)環(huán)境全面監(jiān)測、提升公務(wù)員信息安全培訓(xùn)等方面入手，建立完善的網(wǎng)絡(luò)釣魚防假冒醫(yī)療機構(gòu)或?qū)I(yè)人員：攻擊者冒充醫(yī)生、護士或醫(yī)療機構(gòu)的信任對象，通過電子郵件發(fā)送虛假通知或信息，請求患者虛假賬單和欺詐性支付：攻擊者發(fā)送虛假醫(yī)療賬單或支付通知，引誘患者或醫(yī)療機構(gòu)執(zhí)行支付操作，以盜取資金或獲取財供應(yīng)鏈攻擊：攻擊者冒充醫(yī)療供應(yīng)商或合作伙伴，發(fā)送虛假訂單或支付信息，試圖欺騙醫(yī)療機構(gòu)。這些攻擊方法的共同特點是利用社會工程學(xué)手段進行欺詐。攻擊者常常偽裝成合法且值得信賴的實體，通過看似真實的電子郵件或信息誘導(dǎo)人們攻擊。他們利用欺騙性電子郵件和電話號碼進行網(wǎng)絡(luò)釣魚攻網(wǎng)絡(luò)訪問權(quán)限，他們會竊取辦公室系統(tǒng)中的數(shù)據(jù)，并利用這1010教育行業(yè)存儲著大量敏感身份信息和前沿領(lǐng)域研究數(shù)據(jù)，因此成為不法分子的重要目標。這些不法分子經(jīng)常偽裝成政府機然而，學(xué)校師生整體安全意識不足，對信息安全重視程度不高，對各種釣魚手段缺乏了解，容易受騙。因此，教育行業(yè)亟需重視網(wǎng)絡(luò)釣魚等身份信息盜用犯罪問題，從安全教育、系統(tǒng)加固和攻擊監(jiān)測應(yīng)急等多個方面入手，切實提高網(wǎng)絡(luò)欺詐防金融行業(yè)是一個擁有大量用戶敏感個人數(shù)據(jù)和資金流動的行業(yè)，長期面臨各種網(wǎng)絡(luò)釣魚攻擊的風(fēng)險。目前，針對金融系統(tǒng)的網(wǎng)絡(luò)釣魚攻擊主要分為郵件釣魚、短信釣魚、電話釣魚、公眾號釣魚、惡意應(yīng)用程序和假冒客服這六大類別。這些釣魚攻擊通常利用社會工程學(xué)手段，冒充金融機構(gòu)或政府部門，通過發(fā)送含有釣魚鏈接或要求提供敏感個人信息的電子郵件、短信、電話或公眾號文章，誘導(dǎo)用戶提供信息。一些第三方金融應(yīng)用可能攜帶惡意木馬程序，用于竊取用戶數(shù)據(jù)。此外，攻擊者還可能在社交軟件上冒充銀行客服直接向用戶索要信息。由于攻擊手段日益復(fù)雜，普通用戶難以完全防范這些釣魚攻擊。因此，提高金融供給雙方的安全意識，加強賬戶和信息系統(tǒng)的安全防護，核實消息和賬戶的真實來源，謹慎判斷信1111郵件作為企業(yè)和個人日常工作溝通的主要工具，使用范圍極為廣泛，但也為釣魚攻擊提供了巨大的覆蓋面。攻擊者可以輕易獲取大量收件人，發(fā)起大規(guī)模郵件攻擊，而且發(fā)送釣魚郵件只需要基礎(chǔ)的技術(shù)即可完成。利用成熟的社會工程學(xué)手段，攻擊者可以輕松偽造發(fā)送人、主題和內(nèi)容，這種低成本、低風(fēng)險的攻擊便利了網(wǎng)絡(luò)犯罪分子。長期高強度的郵件釣魚攻擊近年來，網(wǎng)絡(luò)釣魚即服務(wù)(Phaas)的出現(xiàn)為郵件釣魚攻擊提供了簡單自動化的解決方案，攻擊者可以直接租用或購買這類服務(wù)來發(fā)動攻擊，進一步降低了攻擊成本和技術(shù)門檻。隨著新型惡意軟件不斷出現(xiàn)和攻擊手段層出不窮，郵件釣魚依舊連團案例一1212攻擊者偽裝成會議主辦方發(fā)送電子郵件邀請收件人參加會議。在郵件正文中，攻擊者提示用戶打開附件進行確認。附件是1313通訊軟件釣魚是一種社交網(wǎng)絡(luò)釣魚與虛擬詐騙攻擊，通過即時通訊渠道傳播和實施。攻擊者通常會向受害用戶發(fā)送包含釣魚鏈接或附件的消息，利用各種社會工程學(xué)手段誘使用戶輸入個人信息或掃碼轉(zhuǎn)賬匯款，從而非法竊取賬號、資金和個人信息。主要傳播方式包括好友賬號被盜后發(fā)送匯款要求、利用空群自動傳播消息、創(chuàng)建假冒機構(gòu)或客服賬號發(fā)信、制作符當(dāng)惡意文件被運行之后會從遠程服務(wù)器下載其他文件并執(zhí)從而實現(xiàn)長久的遠程控制，同時攻擊者會監(jiān)控受害者屏幕，等到1414隨著二維碼的廣泛應(yīng)用，網(wǎng)絡(luò)釣魚攻擊也越來越多地利用二維碼進行詐騙活動，據(jù)統(tǒng)計，二維碼釣魚攻擊同比增長了90%。攻擊者利用二維碼可以規(guī)避安全解決方案的檢測，同時也能降低用戶的警惕性。調(diào)查顯示，超過85%的用戶對二維碼支付和掃碼認證存在盲信心理，意識不夠警惕，為攻擊者提供了機會。近年來，已經(jīng)出現(xiàn)了多起利用假冒支付寶、微信等知名企業(yè)收款二維碼進行詐騙的典型案例。不法分子通過社交平臺傳播假冒業(yè)務(wù)延伸的釣魚二維碼，進行遠程詐騙。一些攻擊者還會在公共場所如餐館、共享單車張貼含惡意鏈接的二維碼，一旦掃描二維碼可能會導(dǎo)致個人信息泄露、憑證攻擊者通過郵件偽裝成政府部門，發(fā)送包含二維碼的釣魚文檔給用戶。這些文檔在打開后會呈現(xiàn)偽裝的政府文件，目的是1515在2023年以來，全球發(fā)生了多起大規(guī)模商業(yè)電子郵件欺詐事件：1月，印度最大私人銀行HDFCBank遭遇了BEC攻擊網(wǎng)絡(luò)犯罪分子利用可信供應(yīng)商泄露的郵件發(fā)送釣魚鏈接，鏈接指向合法網(wǎng)站托管的釣魚頁面。一旦收件人點擊鏈接，將被為了持續(xù)控制賬戶，攻擊者登錄后可能添加新的MFA方法。隨后，他們可能創(chuàng)建收件箱規(guī)則，將傳歸檔文件夾并標記為已讀，以降低用戶感知。接著，攻擊者會利用被入侵的郵箱向其他聯(lián)系人發(fā)送大量釣魚郵件，并通過Emailsand?lesEmailsand?lesmodi?cationandmodi?cationand以上案例表明，2023年遭遇著頻繁且損失慘重的BEC攻擊威脅，而今年這一趨勢預(yù)估還會有所增加，而大多數(shù)企業(yè)和用1616今今1717攻擊者利用中間人攻擊繞過多因素認證，通過郵件或即時通訊發(fā)送鏈接或二維碼誘導(dǎo)目標點擊。受害者按照攻擊者的提示1818近兩年來，隨著GPT技術(shù)的快速發(fā)展和應(yīng)用，攻擊者也將目光投向了這黑客聲稱該AI專門為協(xié)助網(wǎng)絡(luò)犯罪分子而設(shè)計，可以自由生成惡意代碼或創(chuàng)建網(wǎng)絡(luò)釣魚攻擊。用的戰(zhàn)略也很狡猾。7月，黑市上以200$/M的價格推出了FraudGPT，該模型可以編寫惡意代碼、創(chuàng)建釣魚頁面、生成欺詐內(nèi)容。作者聲稱將在未來發(fā)布更加強大的GPT。8月，黑客以90$/M和80$/M的價格發(fā)布了兩款惡意GPT模型：1919攻攻這意味著傳統(tǒng)的網(wǎng)絡(luò)釣魚防御措施不足以應(yīng)對這種新形式的攻擊，防御惡意GPT驅(qū)動的釣魚攻擊需要更具創(chuàng)新和多樣化的防通過AI分析電子郵件、網(wǎng)站內(nèi)容或社交媒體信利用深度學(xué)習(xí)和機器學(xué)習(xí)技術(shù)，AI模型可以根據(jù)已知的訓(xùn)練數(shù)據(jù)不斷優(yōu)化，提高對新型釣魚攻擊的2020通過分析這些案例，我們可以發(fā)現(xiàn)一些共同點，如犯罪分子利用用戶的貪婪心理、恐慌心理等弱點進行攻擊。同時，這些3月黑客組織對葡萄牙的30家政府機構(gòu)和金融機構(gòu)進行了惡意活動。攻擊者采用多黑客組織對葡萄牙的30家政府機構(gòu)和金融機構(gòu)進行了惡意活動。攻擊者采用多種方式將惡意文件投遞到目標主機，包括偽裝成本地能源公司、稅務(wù)、海關(guān)總署的釣魚郵件，以及偽裝這些組織的惡意網(wǎng)站和其他社會工程學(xué)攻擊。這些文件包導(dǎo)受害者訪問虛假門戶網(wǎng)站，竊取相關(guān)憑證或監(jiān)控指定金融機構(gòu)窗口，并記錄鍵5月網(wǎng)絡(luò)犯罪分子偽裝成記者進行網(wǎng)絡(luò)釣魚攻擊，攻擊者利用受害者的信網(wǎng)絡(luò)犯罪分子偽裝成記者進行網(wǎng)絡(luò)釣魚攻擊，攻擊者利用受害者的信任謊稱需要6月網(wǎng)絡(luò)犯罪分子以歐洲各國外交政策為主題發(fā)送釣魚郵件，此次活動存在兩條感染網(wǎng)絡(luò)犯罪分子以歐洲各國外交政策為主題發(fā)送釣魚郵件，此次活動存在兩條感染7月2121網(wǎng)絡(luò)犯罪分子針對美國著名能源公司發(fā)起釣魚攻擊。攻擊者通過電子郵件發(fā)送帶有8月安全研究人員稱犯罪分子通過魚叉式網(wǎng)絡(luò)釣魚的電子郵件針對亞洲國家關(guān)鍵組織安全研究人員稱犯罪分子通過魚叉式網(wǎng)絡(luò)釣魚的電子郵件針對亞洲國家關(guān)鍵組織的特定人員進行定向攻擊，郵件附件為zip歸檔文件，其中的惡意dll利用裝成美國國稅局員工