近日，全球知名的應用交付廠商F5發(fā)布了《2018年網(wǎng)絡釣魚和欺詐報告：節(jié)假日為攻擊峰值》。

據(jù)報告顯示，2018年10月、11月和12月的欺詐事件比往年攀升了超過50%。其中，網(wǎng)絡釣魚仍然是首選渠道，釣魚者通過盜取登錄認證和信用卡號碼等私密信息而實現(xiàn)犯罪。

該報告指出了網(wǎng)絡釣魚的幾個關鍵點，包括手段、目標等：

1.主要手法是盜用身份：從2018年9月1日到10月31日，71%的虛假釣魚案例均是偽裝成10家頂級科技行業(yè)公司，從而獲得受害者的信任并實現(xiàn)欺詐。

2.重點攻擊對象是金融機構：無疑，金融機構擁有大量的資金，這讓他們成為釣魚者的首選目標。但F5預計，未來針對電子商務和物流行業(yè)的詐騙比重將會持續(xù)上升。

說起來，網(wǎng)絡釣魚并不罕見，它通過一個心理誘餌，一步步引導受害者，讓受害者以為該虛假網(wǎng)絡程序和應用是真實可信的，進而掉進“圈套”。這個過程可分解為如下步驟：

a.目標選擇：

即尋找合適的受害者，特別要透過電子郵件地址和背景信息，總結出一個具有吸引力的心理痛點。

b.社交機制：

布置恰當?shù)脑p騙誘餌，誘使受害者掉入陷阱，以竊取他們的賬戶并植入惡意軟件。在魚叉式網(wǎng)絡的釣魚案例中，這種誘餌是針對目標受害者而定制的。每當年終歲尾，網(wǎng)絡釣魚者會利用年終和節(jié)假日的各類活動包裝出偽裝外衣。

c.技術工程：

釣魚者躲避開安全程序的掃描，以構建虛假網(wǎng)站，制作惡意軟件等技術性方法開展詐騙。

針對網(wǎng)絡釣魚，一方面要加強安全意識培訓，另一方面是控制員工郵箱中的釣魚電子郵件。

據(jù)了解，通過培訓員工辨別網(wǎng)絡釣魚騙局，企業(yè)能有效地將惡意電子郵件，鏈接和附件的點擊率從33%降低到13%。

對普通消費者來說，F(xiàn)5給出了三個建議：

1. 減少URLS應用：盡量減少在如bit.ly這類服務網(wǎng)址上的瀏覽時間，因為他們都可以是惡性的。用戶應該打開新的瀏覽器選項卡，并搜索涉及到的有關內(nèi)容或網(wǎng)站。

2. 重視安全證書警告：警告會顯示在用戶瀏覽器，以提示當前登錄網(wǎng)站的安全證書無效，或尚未由受信任的機構頒發(fā)證書。如果用戶認為該網(wǎng)站合法，不該忽略警告，應另在單獨的瀏覽器窗口中搜索該網(wǎng)站。

3. 認真檢查網(wǎng)址：偽造的網(wǎng)絡釣魚網(wǎng)站往往精心制作，偽裝出充分的合法性。因此，在提供登錄認證或帳戶等任何個人信息之前，用戶應養(yǎng)成認真檢查地址欄中網(wǎng)址的習慣。

對企業(yè)來說，隨著網(wǎng)絡釣魚變得愈加復雜和精明，安全意識培訓對于保護企業(yè)和員工免受依托技術的網(wǎng)絡釣魚詐騙變得至關重要。

其中，包括電子郵件標簽，防病毒(AV)軟件，Web過濾和多因素身份驗證等諸多方面的措施。

因此，企業(yè)需要構建出一個涵蓋員工、流程和技術的綜合可控安全架構。