全球反网络钓鱼工作组(APWG)在10月至2019年12月期间检测到的网络钓鱼站点总数为162,155个,这是在2019年7月至2019年9月记录的历史最高记录——总计266,387起攻击。
但是,大多数威胁是针对网络犯罪团伙表现出的趋势,这些趋势集中在:网络托管电子邮件和社交媒体的用户使潜在受害者的数量成倍增加;
以及日益复杂的商务电子邮件妥协(BEC)计划,以利用关键主管人员对公司资源的更广泛访问以及更大的支付权限。
其他有趣的发现
通过大多数其他措施,2019年是在线用户有史以来最危险的年份之一。在2019年期间,巴西的网络钓鱼事件数量增加了232%。APWG成员公司Axur记录了针对巴西葡萄牙语和巴西品牌和服务的攻击,并指出在黑色星期五这种攻击有所增加。
同样,APWG成员公司Agari记录了犯罪分子在假日购物季节实施商业电子邮件妥协(BEC)攻击并使用礼品卡兑现的情况。
攻击者通过获取礼品卡可以赚到的钱大大少于电汇。在第四季度,BEC参与者要求提供的平均礼品卡超过1600美元。但是对于电汇BEC攻击,第四季度请求的平均诈骗金额超过55,000美元,”报告指出。
“我们在第四季度看到的真正值得注意的事情之一是请求的礼品卡类型发生了变化。Google Play仍然是最受欢迎的礼品卡,但从27%减少到了15%。” Agari威胁研究高级总监Crane Hassold说。
“我们看到eBay,Target,Best Buy和Sephora对礼品卡的需求有所增加。增长的原因可能是所有这些公司都出售实物商品,因此攻击会选在假日季节进行的。
这可能表明诈骗者正在通过使用卡来购买可以出售的实物商品来洗钱,而不是将钱投入在线加密货币交易所,这也是一种流行的洗钱选择。”
APWG贡献者OpSec Security在第四季度每月看到针对325个以上不同品牌(公司)的攻击。
OpSec Security的反欺诈产品和市场经理Stefanie Wood Ellis指出,网络钓鱼攻击的最常见目标仍然是Webmail,付款和银行站点,但是“针对社交媒体目标的网络钓鱼每年每季度都有增长,在2019年翻了一番。”
使用SSL进行更有效的网络钓鱼
APWG成员PhishLabs的研究人员记录了网络钓鱼网站上SSL证书使用的增加。现在,几乎所有钓鱼网站中有四分之三使用SSL保护。这是自2015年初开始跟踪以来的最高百分比,并且明确表明用户不能仅依靠SSL来了解网站是否安全。
APWG成员RiskIQ分析了在2019年第四季度报告给APWG的2,149个经过确认的网络钓鱼URL,发现网络钓鱼者使用的最受欢迎的顶级域名是通用.com,.org,.net和.info TLD。
