-
-
[翻译]移动设备上的网络钓鱼攻击检测
-
发表于: 2019-2-15 23:55 6489
-
原文链接:
在2011年发布的一份报告中,IBM透露,移动用户比桌面用户遭遇网络钓鱼攻击的概率高三倍。这一说法基于一些网络服务器的被访问日志,这些服务器用于托管参与网络钓鱼活动的网站。
近10年后,我们仍能看到不同的组织报告说,针对移动市场的钓鱼攻击呈上升趋势。令人惊讶的是,网络钓鱼者似乎把天平转向了一个新的首选目标:iPhone用户。移动安全解决方案提供商Wandera观察到,iOS用户遭遇钓鱼攻击的次数是Android用户的两倍。
- Lookout在白皮书《2018年移动网络钓鱼:当今每个现代企业所面临的神话与事实》中确定,自2011年以来,用户点击钓鱼链接的频率平均增长了85%
- 反网络钓鱼工作小组(APWG)在最新的《网络钓鱼活动趋势报告》中披露,支付行业在2018年第一季度仍然是网络钓鱼威胁头号目标,占比36%。
- APWG的这份报告还声称35%的钓鱼网站使用HTTPS和SSL证书。目前谷歌将非HTTPS网站标记为“不安全”,预计会有更多的网络钓鱼者滥用HTTPS网站可信和合法这一公认的概念。
- Wombat Security在他们的报告《2018年网络钓鱼状态》中称短信钓鱼(smishing)是值得关注的攻击载体。由于2017年其媒体报道的增加,他们认为这一趋势也将持续下去,尤其是在手机钓鱼意识较低的国家。
- PhishLabs在其《2018年网络钓鱼趋势与情报报告》中称,电子邮件/在线服务是2017年下半年的头号目标行业,尤其是模仿微软Office 365登录页面的钓鱼URL。这表明,针对企业的网络钓鱼活动越来越多。
- PhishLabs的这份报告还指出,依靠用户对软件即服务(SaaS)公司的信任进行钓鱼活动的数量急剧增加。据称,此类攻击在2015年前不存在,但在随后的两年里增加了一倍以上.
- Wandera声称48%的钓鱼攻击发生在手机上。他们还表明,iOS用户被网络钓鱼攻击的可能性是下载恶意软件的18倍。
网络钓鱼攻击不再局限于电子邮件,尤其是手机邮件。移动设备固有的设计和功能,使得网络钓鱼者能够通过各种方式窃取重要的个人及商业数据。
虽然许多用户对桌面网络钓鱼非常熟悉,但这些用户对smishing或vishing(以及在手机上可能遇到的其他类型的网络钓鱼)的熟悉程度不如电子邮件钓鱼。
SMiShing是通过短信进行的网络钓鱼。安卓专家、资深分析师内森•科利尔(Nathan Collier)在一篇文章中写道,他的一位同事在自己的安卓设备上收到了一条据称来自一家人力资源公司的短信,内容是在宣传亚马逊(Amazon)一个公开但虚假的首席代理职位。
iOS用户可能遭受此类短信骚扰。下面是一条在Reddit上公开发布的消息,用以告警iPhone用户:
iOS短信钓鱼截图,by Redditor u/jamesmt87
您的Apple ID已被停用,请点击链接{bit.ly URL}进行确认。
Apple
Vishing,或语音邮件钓鱼(有时,它也代表VoIP钓鱼),是利用设备的通话功能进行的钓鱼。钓鱼的方式有:(1)给目标留下了一条有问题的录音消息,(2)留下了一个目标可以用来回拨的号码,(3)用陌生号码拨打目标电话。第二点正是Ars Technica编辑肖恩•加拉格尔(Sean Gallagher)在2018年7月的一篇帖子中透露的iOS网络钓鱼骗局所使用的策略。据加拉格尔说,一封电子邮件会将用户导向一个假冒的苹果网站,该网站会弹出一个对话框,引导用户给一个自称是“AppleCare的兰斯·罗杰”的代理打电话。AppleCare是苹果的延保服务。
一个vishing弹出对话框,by Ars Technica
关于Android方面,我们有最新版本的木马变种Fakebank,这是一种能够拦截银行短信和呼入呼出电话的移动木马。例如,给合法银行打电话的用户会被重定向到冒充银行代理的骗子那里。安全研究人员在针对韩国银行客户的受影响应用程序中发现了这种变体。
Vishing也可以成为更大的商务邮件攻击(BEC)的一部分。
应用程序让用户使用手机的体验越来越好。如果没有它们,人们可能只会认为手机是一种昂贵的镇纸
这些出色的小程序让用户可以在远离台式电脑的情况下查看个人和工作邮件,在旅途中通过消息平台与家人和朋友保持联系,实时分享和访问媒体,以及在等待时避免无聊。
不幸的是,网络钓鱼者利用了应用程序的强大优势。互联网上充斥着通过手机应用钓鱼(或差点钓鱼)的故事。
以Facebook上的消息为例,它使用Messenger作为一个发射台,传播一段据称是收件人的“病毒视频”,内容包括收件人的照片和姓名,以及一个表示查看次数的数字。
Facebook Messenger phish截图
点击这个“视频”,手机用户就会进入一个虚假的Facebook视频登录界面,然后被撺掇输入自己的Facebook账户。这样做给联系人发送了一个类似的视频诱饵,更不用说骗子劫持了那些上当受骗的人的账户。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课