在短短几个月的时间里,以智能手机为切入点试图危害企业网络的网络钓鱼攻击数量增加了三分之一以上。
网络安全公司Lookout的分析发现,仅在2019年的最后三个月到2020年的头几个月,全球移动网络钓鱼攻击就增加了37%。
长期以来,网络钓鱼电子邮件一直是台式机和笔记本电脑用户的问题,但移动设备使用的增加(尤其是随着越来越多的人在远程工作)为网络罪犯创造了一个额外的攻击载体,他们的目标都是安卓和IOS手机。
针对桌面电子邮件应用程序的攻击可能会留下一些不太正确的信号,例如能够预览链接和附件,或者看到可能看起来可疑的电子邮件地址和url。
然而,这在移动电子邮件、社交媒体和消息应用程序中很难被发现,因为它们是为更小的屏幕设计的。
Lookout安全解决方案高级经理Hank Schless告诉ZDNet:“在这么小的移动屏幕上,很难发现我们通常在笔记本电脑或PC上检测到的危险信号。”
“由于我们无法预览链接,无法在移动浏览器中查看完整的url,也无法快速地点击任何可能出现的内容,恶意行为人正投入时间和精力,使这些活动在未经训练的人眼中无法察觉。”
在许多情况下,攻击者能够设计与目标组织几乎完全相同的假登录页面,特别是现在很多企业都依赖于Office 365这样的云平台。
如果用户在网络钓鱼页面中输入用户名和密码,他们将把这些信息交给攻击者,攻击者可以利用这些信息访问他们的公司账户。
针对个人账户的移动钓鱼攻击也在上升,攻击者利用智能手机和移动浏览器试图窃取登录详细信息、银行信息和其他个人数据。
Lookout发现的一个活动是,一家加拿大大银行的客户被一名攻击者锁定,攻击者向数千人发送了一条群发短信,要求他们登录自己的账户,将他们引导到看起来与真实情况几乎相同的页面。
攻击者还试图利用冠状病毒大流行的机会进行移动网络钓鱼活动,冒充政府和卫生组织。
“移动网络钓鱼活动将继续变得越来越难发现,我们可以期待在短信和电子邮件以外的渠道有更先进的社会工程,”Schless说。
他还说:“个人设备和工作设备之间的界限将变得更加模糊,攻击者知道他们可以使用传统企业安全策略保护之外的平台来访问组织的基础设施。”。
防范移动网络钓鱼攻击可能很困难,但警告员工这些活动的风险可以在一定程度上防止它们。组织也可以考虑使用移动安全系统,但他们也需要意识到,当涉及到侵犯用户隐私时,它不会越界。
“理想情况下,解决方案不应该检查内容,而应该只在用户遇到恶意链接时发出警报,并自动阻止恶意连接。这些警报将指导用户调整浏览习惯,最终降低组织的总体风险状况,”Schless说。
【参考来源zdnet,图片来源于网络,侵删】
