现代企业组织的内部威胁有很多种,从心怀不满的员工、勒索事件受害者和安全意识薄弱的用户,到那些对公司网络上敏感数据和系统拥有高级访问权限的用户,包括系统管理员、网

Andrew2024-03-07 16:29:05

本文编译自CyberSecurity Magazine杂志2024年初发表的原题为“Phishing in 2024: Here’s What to Expect”的文章。


网络钓鱼(Phishing)是网络犯罪分子仿冒合法身份获得敏感信息的一种欺骗行为。30多年来钓鱼攻击招数与时俱进,从简单的通过电子邮件骗取账号密码,发展到与人工智能(AI)、深度伪造(DeepFake)相结合,通过社交媒体、移动设备、物联网设备等渠道发起更为复杂的钓鱼攻击,成为数字世界的最大威胁之一。


知己知彼,百战不殆!了解网络钓鱼攻击最新发展趋势至关重要,企业和个人保持领先于威胁一步,才能更好地维护网络安全,保护企业和个人免受网络钓鱼攻击。


1. 人工智能+网络钓鱼


人工智能技术正在彻底改变网络钓鱼攻防的格局,网络犯罪分子利用大语言模型(LLM)能够分析来自开源情报(OSINT)的海量数据(包括社交媒体和互联网公开的信息),从而深入了解攻击对象的个人画像,沟通风格和兴趣偏好,生成高度个性化、更有说服力且逼真的钓鱼邮件,通常会绕过传统的安全措施,使得受害者更加难以识别。另外,各种邪恶版ChatGPT大大降低了网络犯罪分子的实施门槛,能够协助网络犯罪分子批量生成钓鱼邮件,开展大规模的网络钓鱼活动,加速了威胁环境的复杂性。


2.深度伪造+网络钓鱼


网络钓鱼攻击者越来越多地在复杂的网络钓鱼骗局中利用深度伪造技术,他们制造令人信服的假音频和视频来冒充受信任的身份。DeepFakes技术的平民化(一般变脸变声APP大多用于娱乐)使得区分真假音视频变得更具挑战性,提高了犯罪分子实施语音钓鱼或视频钓鱼骗局的成功率。受害者一旦上钩,往往会造成重大的经济损失、声誉损害,以会造成公众对于数字通信的信任侵蚀。DeepFakes加持的钓鱼欺诈威胁越来越普遍,66%的受访者表示曾遭遇过深度伪造攻击。


3.勒索软件+网络钓鱼


事实上,钓鱼邮件越来越成为勒索软件入侵和传播的主要载体,利用人性弱点通过欺骗性电子邮件诱骗个人下载恶意内容或点击恶意链接,勒索病毒将自动加载、安装和运行,然后加密并窃取敏感数据,比利用系统漏洞更容易投放和成功。钓鱼攻击之所以防不胜防,就是在于每个人在特定情况下都有可能发生“人为错误”。另外,大脑中固有的“认识偏差”也会影响人们的安全决策。例如,实际上,每个人或多或少都会有一点乐观偏见,对自己有利的盲目乐观和自信,认为可以100%识别钓鱼邮件。对自己不利的,则认为不可能发生在自己身上。或怀有“鸵鸟心态”,以为自己眼睛看不见就是安全的。


4.政府背景+网络钓鱼


国家支持的网络钓鱼间谍活动和网络战的兴起,标志着全球网络威胁的显著升级,政府或其代理人发起精心策划的鱼叉式钓鱼攻击,以获取敏感数据或破坏基础设施。其目标范围广泛,可能针对国防部门、政府或非政府组织、军事目标、高端智库、高校/学术界/科研人员等.


国际社会正在加紧努力,包括加强跨境情报共享、制定全球网络安全规范和加强国防。然而,网络空间的匿名性和无国界性继续对有效打击这些政府背景支持的网络攻击活动和维护全球网络安全构成重大挑战。


5.瞄准社交媒体


社交媒体(微信、微博等)是网络钓鱼的温床,通过社交媒体平台的网络钓鱼攻击的增加是由于庞大的、数以亿计的用户基础和用户对于社交平台的信任。网络犯罪分子利用这种天然的信任关系,使用诸如创建虚假个人资料、直接发送带有恶意链接的信息、图片、文档或压缩包,或发布看似合法的欺骗性广告、小测验、虚假红包等策略。


这些方法特别有效,因为是社交媒体好友发过来的信息,又无缝地融合到聊天对话交流中,使用户很难识别它们的恶意意图。考虑到95%的网络安全漏洞始于某人无意中点击了恶意链接或下载了恶意附件,这种微妙之处令人担忧,突显了基于社交媒体的网络钓鱼攻击的重大威胁,以及提高用户警惕性的必要性。


6.瞄准云服务


随着云服务的普及,网络钓鱼攻击技术也趋于云化网络钓鱼攻击越来越多地针对云存储和云服务,利用它们在个人和企业数据管理中的核心作用。网络犯罪分子伪造欺骗性电子邮件和信息,冒充知名云服务提供商的身份发起钓鱼攻击,诱使用户在欺诈网站上输入登录凭据,从而使攻击者能够顺利访问云中的敏感数据。或通过云存储服务托管恶意文件,并通过链接分享功能进行传播。由于云服务的高信誉度,传统的安全技术防御很难精准拦截。


7.瞄准移动设备


针对移动用户的网络钓鱼攻击的增长趋势反映了智能手机和平板电脑在各种活动中的使用越来越多。这类攻击最初集中在基于短信的钓鱼方案上,现在已经发展到利用即时通讯应用程序、社交媒体和假移动应用程序。


这尤其令人担忧,因为据预测,截止2023年,全球只有约13%的人能够有效保护好他们的数据。移动设备的便利性和在日常生活中不可或缺的作用,再加上移动办公/BYOD办公的流行,个人设备普遍缺乏强大的安全防护措施,且以往学到的PC端安全知识在移动端并不完全适用,这些因素叠加在一起,使得用户极易受到针对移动设备的网络钓鱼攻击影响


8.瞄准物联网


物联网设备通常先天性缺乏安全功能属性(例如默认密码、无防火墙),这是一个重大漏洞,网络钓鱼攻击者可以利用这些漏洞未经授权访问个人和家庭网络。这些IoT设备包括:路由器、打印机、摄像头、可穿戴设备、和家用物联网用品等可能成为网络犯罪分子的入口。


一旦侵入,攻击者就可以利用这些设备监控个人活动、收集敏感数据或作为渗透更广泛家庭网络的网关,对个人隐私和安全构成严重威胁。物联网设备的互联特性放大了风险,因为破坏一个IoT设备可能会导致多米诺骨牌效应,危及整个家庭网络的安全。而个人IoT设备连接到公司办公网络,还可能连累公司的整体网络安全。


9.瞄准中小企业


网络钓鱼者越来越多地瞄准小型企业,因为它们的网络安全预算投入通常十分有限,安全防护脆弱。例如:大部分员工对于网络威胁的认识不足,缺乏安全意识常识,对关键信息系统和敏感信息防护不足,网络安全相关制度缺失、安全专业人员、安全培训缺失、管理层支持缺失等等,因此中小企业面对各种网络威胁的抵抗力更弱,包括网络钓鱼,另据报告显示,8成勒索攻击针对的是中小企业。另一个原因是,很多中小企业存在一种虚假的安全感-“公司规模小,黑客不会费心思攻击小公司的”。实际上,中小企业遭遇钓鱼攻击的频次和损失也不小。一旦中小企业遭遇钓鱼,导致核心数据外泄,或诱骗财务转账,或感染勒索病毒重要数据无法恢复,这种损失往往是灭顶之灾,很多中小企业因为遭遇网络攻击而一蹶不振,关门大吉。

多管齐下,加强数字安全防御


随着复杂的网络钓鱼攻击和国家背景支持的网络攻击活动的迅猛发展,企业和个人都需要不断更新网络安全防护策略,适应新兴的安全威胁,从技术防御、流程完善和人员培训方面多管齐下,打造更具弹性的网络安全文化

网络安全网络钓鱼
本作品采用《CC 协议》,转载必须注明作者和本文链接
2022年上半年,全球重大网络安全事件频发,勒索软件、数据泄露、黑客攻击等层出不穷,且变得更具危害性,比如今年1月份,美国布劳沃德公共卫生系统公布了一起大规模数据泄露事件,超过130万人受影响。这一趋势预计将在2023年继续。软件勒索事态恶化恶意软件是以恶意意图编写的软件的统称,包括病毒软件、勒索软件和间谍软件。相关数据显示,2020年全球超过1000家公司因未向勒索软件要求低头而遭到数据泄露。
网络空间安全动态
2021-12-14 22:41:32
12月3日,全国金融标准化技术委员会秘书处发布《金融数据安全 数据安全评估规范》并公开征求意见。这些指令将于12月31日生效,运营商将有90天时间进行网络安全脆弱性评估,180天时间实施网络安全事件响应计划。Kister随后致电德国刑事调查部门和联邦信息安全办公室,并通知相关监管机构,目前调查仍在进行中。12月2日,疑似勒索软件组织Conti在其泄露站点发布了Kisters 5%的被窃数据。
该调查在美国、英国和德国进行。对行业安全认证的不信任是调查发现的另一个关键问题。Sampson认为,网络安全认证与安全意识培训的内容开发、个人学习和能力评估之间的时间间隔与快速发展的威胁形势不匹配,导致个人在面对真实的网络威胁时的实战表现总是低于预期。
近年来机器学习的快速发展使人工智能的潜在能力显而易见。在十几次采访过程中,研究人员、投资者、政府官员和网络安全高管绝大多数表示,他们正以怀疑和兴奋的心情关注生成式人工智能的防御潜力。他们的怀疑源于一种怀疑,即营销炒作歪曲了该技术的实际功能,并且认为AI甚至可能引入一组新的、人们知之甚少的安全漏洞。但这种怀疑被真正的兴奋所掩盖和缓和。这在很大程度上是由于行业领导者OpenAI发布其生成AI产品的积极性。
网络安全文化对系统性建立组织的网络安全能力发挥着重要作用,但这种安全文化的建立不可能一蹴而就。改善安全文化首先必须消除网络安全是一个纯粹的技术课题的神话,并以一种人人都能接触以并相关的语言和规范为人们提供明确的指导。长远来看,组织帮助员工了解网络攻击心理方面的影响因素,对网络安全事件的应对能力会更强。掌握常见网络攻击(如网络钓鱼)背后的心理学,是企业可以采取的切实可行措施之一,这有助于改善其网络
新颖创新技术的兴起和迅速采用已极大地改变了各行各业的全球网络安全和合规格局,比如生成式人工智能、无代码应用程序、自动化和物联网等新技术。 网络犯罪分子正转而采用新的技术、工具和软件来发动攻击,并造成更大的破坏。因此,《2023 年网络安全风险投资网络犯罪报告》预测,与网络犯罪相关的危害成本将迅速增加——预计到 2024 年底,全球损失将达到 10.5 万亿美元。
AIGC(生成式人工智能)、大模型、AGI(人工通用智能)、MaaS(模型即服务)作为科技领域的热门技术,毫无疑问成为了2023年的关键词。“生成式AI”正以前所未有的方式影响着人们的生活和工作方式。在网络安全方面,这项技术也正深刻改变着对抗形态和攻防模式,其在打开人类认知世界新路径的同时,也成为黑客开展网络攻击的“利器”。随着生成式AI的深入发展,“双刃剑”效应日益凸显,其为网络安全带来的冲击和
针对组织的网络安全威胁逐年增加。这些警报也可以上报给 IT 团队以立即进行补救。由于人为错误是数据泄露和其他网络攻击得逞的主要原因,因此企业应投资于网络安全培训,以便其员工做好检测和报告威胁的准备。DNS 保护阻止设备访问恶意站点,MDR 保护监控每个设备的进程以识别异常并快速响应。组织还应该为成功攻击或破坏事件做好准备。
网络安全人员有时处于有利地位,有时处于不利地位。当网络安全人员认为网络安全只是应对网络犯罪活动的工作时,他们会让自己感到失去控制并且沮丧。因此,安全性要求网络安全人员接受度量结果。在关注KPI时应该将其视为一种监视仪表板,监视系统的健康状况。不断追求完美将会扭曲安全性指标,因此进行诚实的评估是关键。当某件事出错并发现重大漏洞时,往往会引起人们的关注。
Andrew
暂无描述