在2011年发布的一份报告中，IBM透露，移动用户比桌面用户遭遇网络钓鱼攻击的概率高三倍。这一说法基于一些网络服务器的被访问日志，这些服务器用于托管参与网络钓鱼活动的网站。

近10年后，我们仍能看到不同的组织报告说，针对移动市场的钓鱼攻击呈上升趋势。令人惊讶的是，网络钓鱼者似乎把天平转向了一个新的首选目标:iPhone用户。移动安全解决方案提供商Wandera观察到，iOS用户遭遇钓鱼攻击的次数是Android用户的两倍。

移动钓鱼数据统计

以下是到目前为止值得注意的手机钓鱼统计数据纲要:-

        - Lookout在白皮书《2018年移动网络钓鱼:当今每个现代企业所面临的神话与事实》中确定，自2011年以来，用户点击钓鱼链接的频率平均增长了85%

        - 反网络钓鱼工作小组(APWG)在最新的《网络钓鱼活动趋势报告》中披露，支付行业在2018年第一季度仍然是网络钓鱼威胁头号目标，占比36%。

        - APWG的这份报告还声称35%的钓鱼网站使用HTTPS和SSL证书。目前谷歌将非HTTPS网站标记为“不安全”，预计会有更多的网络钓鱼者滥用HTTPS网站可信和合法这一公认的概念。

      - Wombat Security在他们的报告《2018年网络钓鱼状态》中称短信钓鱼(smishing)是值得关注的攻击载体。由于2017年其媒体报道的增加，他们认为这一趋势也将持续下去，尤其是在手机钓鱼意识较低的国家。

      - PhishLabs在其《2018年网络钓鱼趋势与情报报告》中称，电子邮件/在线服务是2017年下半年的头号目标行业，尤其是模仿微软Office 365登录页面的钓鱼URL。这表明，针对企业的网络钓鱼活动越来越多。

     - PhishLabs的这份报告还指出，依靠用户对软件即服务(SaaS)公司的信任进行钓鱼活动的数量急剧增加。据称，此类攻击在2015年前不存在，但在随后的两年里增加了一倍以上.

      - Wandera声称48%的钓鱼攻击发生在手机上。他们还表明，iOS用户被网络钓鱼攻击的可能性是下载恶意软件的18倍。

移动网络钓鱼手段

网络钓鱼攻击不再局限于电子邮件，尤其是手机邮件。移动设备固有的设计和功能，使得网络钓鱼者能够通过各种方式窃取重要的个人及商业数据。

虽然许多用户对桌面网络钓鱼非常熟悉，但这些用户对smishing或vishing(以及在手机上可能遇到的其他类型的网络钓鱼)的熟悉程度不如电子邮件钓鱼。

SMiShing

SMiShing是通过短信进行的网络钓鱼。安卓专家、资深分析师内森•科利尔(Nathan Collier)在一篇文章中写道，他的一位同事在自己的安卓设备上收到了一条据称来自一家人力资源公司的短信，内容是在宣传亚马逊(Amazon)一个公开但虚假的首席代理职位。

iOS用户可能遭受此类短信骚扰。下面是一条在Reddit上公开发布的消息，用以告警iPhone用户:

iOS短信钓鱼截图，by Redditor u/jamesmt87

您的Apple ID已被停用，请点击链接{bit.ly URL}进行确认。

Apple

Vishing

Vishing，或语音邮件钓鱼(有时，它也代表VoIP钓鱼)，是利用设备的通话功能进行的钓鱼。钓鱼的方式有：(1)给目标留下了一条有问题的录音消息，(2)留下了一个目标可以用来回拨的号码，(3)用陌生号码拨打目标电话。第二点正是Ars Technica编辑肖恩•加拉格尔(Sean Gallagher)在2018年7月的一篇帖子中透露的iOS网络钓鱼骗局所使用的策略。据加拉格尔说，一封电子邮件会将用户导向一个假冒的苹果网站，该网站会弹出一个对话框，引导用户给一个自称是“AppleCare的兰斯·罗杰”的代理打电话。AppleCare是苹果的延保服务。

一个vishing弹出对话框，by Ars Technica

关于Android方面，我们有最新版本的木马变种Fakebank，这是一种能够拦截银行短信和呼入呼出电话的移动木马。例如，给合法银行打电话的用户会被重定向到冒充银行代理的骗子那里。安全研究人员在针对韩国银行客户的受影响应用程序中发现了这种变体。

Vishing也可以成为更大的商务邮件攻击(BEC)的一部分。

其他类型:信使网络钓鱼、社交网络钓鱼和广告网络钓鱼

应用程序让用户使用手机的体验越来越好。如果没有它们，人们可能只会认为手机是一种昂贵的镇纸

这些出色的小程序让用户可以在远离台式电脑的情况下查看个人和工作邮件，在旅途中通过消息平台与家人和朋友保持联系，实时分享和访问媒体，以及在等待时避免无聊。

不幸的是，网络钓鱼者利用了应用程序的强大优势。互联网上充斥着通过手机应用钓鱼(或差点钓鱼)的故事。

以Facebook上的消息为例，它使用Messenger作为一个发射台，传播一段据称是收件人的“病毒视频”，内容包括收件人的照片和姓名，以及一个表示查看次数的数字。

Facebook Messenger phish截图

点击这个“视频”，手机用户就会进入一个虚假的Facebook视频登录界面，然后被撺掇输入自己的Facebook账户。这样做给联系人发送了一个类似的视频诱饵，更不用说骗子劫持了那些上当受骗的人的账户。

以上是一个信使钓鱼的案例。这是一种通过在移动设备上使用消息服务进行钓鱼的方式。这些服务包括WhatsApp、Instagram、Viber、Skype、Snapchat和Slack。然后是社交网络钓鱼，这是一种通过大量使用社交网站传播钓鱼活动的攻击方式。。以下是通过LinkedIn的InMail功能发送给收件人的钓鱼信息截图:

LinkedIn邮件钓鱼的截图，by KnowBe4

这是社交网络钓鱼的另一个例子:一个冒充NatWest bank的Twitter账户，插入到NatWest客户与NatWest官方Twitter频道的实时对话中间，试图对这家真正的银行当前试图解决的问题提出一个虚假的解决方案，方案中包含钓鱼地址。

Malwarebytes发现的一个虚假Twitter账户

最后是广告网络钓鱼。在移动设备上，广告可以有多种形式:它们可以出现在免费应用程序中，可以出现在用户访问的网页上，也可以以弹框或横幅的形式出现。由于应用程序在后台与其他服务(如广告网络)进行通信，它们可能会让移动用户面临钓鱼活动或恶意软件等风险。

如果我们不提钓鱼应用程序，那就是失职。这些都是依靠知名网络品牌的虚假应用，通常承诺如果下载和安装，会有一项或多项优惠。例如Instagram应用被发现在谷歌Pl商店收集用户凭证后下架的。这些应用程序已经被下载了150万次，它们承诺会增加关注者、点赞和评论的数量。

移动网络钓鱼的发现

进行移动网络钓鱼是一个相当大的挑战，对于外行和不熟悉的人更是如此。无论您的技术水平如何，或者您选择的计算平台如何，作为一个经验法则，您最好熟悉常见的钓鱼策略和趋势。我们有一个非常全面的危险信号列表，可以指导您确定一般的钓鱼方式。手机用户可以从我们列出的潜在手机钓鱼迹象(如下)中获益良多:

• 这条消息是突然冒出来的，声称你要么(1)中了奖，要么(2)账户或订阅服务突然停用(通常没有透露原因)，要么(3)你急需做点什么来解决问题。这种说法是经过实践检验的社会工程策略，往往会钓鱼成功。如果因为这些通知被钓鱼了，必须采取措施减轻其影响,然而,最好的是用户不要为了方便点击这些通知中的链接而应该直接到合法的网页(通过从书签加载或在地址栏手动输入地址)并在上面登陆。
  
• 真正实际违反通知时,必须采取措施减轻其影响,然而,它最适合的用户点击链接,以避免在这些通知(我们认为是更快和更方便),取而代之的是直接到合法的领域(通过加载从书签或手动输入地址在地址栏)和日志记录。
  
• 消息来自未知的号码或发送方。如果它声称来自您实际使用的服务，请加倍小心。由于在移动设备上几乎不可能确定服务提供商所说的真实身份，因此您最好亲自验证任何声明，就像上面提到的，并检查记录的可疑活动。如果您仍然有一点困扰，请联系您的服务提供商的客户支持部门。
  

• 这条消息带有一个虚假的超链接，这对一些人来说是显而易见的，但对另一些人来说则不然。熟悉您在线使用的服务的官方web地址的URL是有好处的。如果你感觉或认为有些东西是关闭的，即使你不确定是什么触发了它，也要谨慎行事，避免点击那个链接。

• 该消息带有一个简短的URL。缩短URL是一种很好的方法，可以有效地利用有限字符数的空间。不幸的是，这可能被滥用来屏蔽潜在的恶意URL，使其不会被第一眼发现。

• 如果留言或来电者要求你提供个人信息(如果不是更多信息的话)。大多数合法和有信誉的企业不会打电话或发信息要求获得敏感信息。在某些情况下，如果银行怀疑你的账户可能存在欺诈行为，他们会给你打电话。他们这样做是为了检验你是否是你所说的那个人。然而，有些信息他们绝对不会要求你泄露，比如你的账户密码或社会安全号码(SSN)。
  
• 如果留言或来电者没有提到你的名字。同样，大多数公司都知道他们的客户是谁，并且会一直称呼你的名字。
  
• 如果你被指向的URL没有绿色挂锁。是的，在网站上使用HTTPS不再是一个不存在恶意页面的可靠证据，但是仍然有很多钓鱼活动放弃使用HTTPS。
  
• 如果重定向到的URL似乎是正确的，但后面还有无法解释的破折号。钓鱼者已经在使用一种名为URL填充的技术，他们在由合法网站地址组成的子域名中填充连字符，以隐藏真正的域名并创建可信度。

虚假Facebook登录屏幕的屏幕截图，网络钓鱼者使用URL填充，by PhishLabs

在这个例子中，完整的URL是hxxp://m.facebook.com——validate——step1.rickytaylk[dot]com/sign_in.html，其中rickytaylk[.]com是域名，m.facebook.com——validate——step1是子域。由于手机屏幕较小，用户可能很难看到完整的URL，但他们可以做的是复制URL并粘贴到记事本应用程序上，看到完整的url。

同质攻击也适用于移动设备。幸运的是，许多现代浏览器已经被编程来显示包含易混淆项(或看起来类似于一个或多个英文字母的非英语字符)的域的Punycode版本。

用户在移动浏览器上看到一个Punycode URL时，可能会被警告说他们正在一个本不应该在的页面上。这是一件好事。然而，并不是所有接受和显示文本的应用程序都考虑了同质图攻击的可能性。根据Wandera的研究，许多Android和iOS员工使用的沟通和协作工具并不会将Punycode url标记为可疑。

“只有Facebook Messenger, Instagram和Skype为用户提供了一个机会来识别punycode URL通过显示预览网页的xn前缀,或者,在Skype的情况下,通过不使用unicode为域提供超链接,这意味着用户无法点击的消息。Wandera的内容营销经理Liarna La Porta在博客中写道。“虽然这些应用程序不能提供最好的防御方法，但它们至少提供了一个更紧密地评估可疑链接的机会。”

不再有钓鱼？

2017年4月，一名假扮台湾电子制造公司广达电脑(Quanta Computer)的立陶宛男子，成功地欺骗了科技行业的两大巨头，每人支付给他逾1亿美元。这些公司最终收回了大部分资金，但这并不是在它们成为让读者倒吸一口冷气的头条新闻之后。这些网络钓鱼的受害者是谁?他们是谷歌和Facebook。

当谈到一个目标被钓鱼诱饵吸引的可能性较低时，科技的精明似乎正慢慢成为一个无关紧要的因素。对于桌面用户来说，要成功地确定可信的phish已经足够具有挑战性了。移动设备已经有了大小限制和更多的潜在攻击点，用户面临双重挑战，特别是如果对手有足够的动机窃取存储在移动设备上的敏感企业数据。

事实上，网络钓鱼已经超越了电子邮件。在手机上使用商品级的网络钓鱼保护不足以保护用户免受攻击。要做到真正的防钓鱼(或类似于防钓鱼)，可能需要对人和机器进行必要的调整:提高移动设备及其应用程序的安全特性，了解危险信号以及采取哪些步骤来充分应对钓鱼企图，这些都是关键。

翻译：cherrir

校对：Green奇