三分之一的可疑邮件都是网络钓鱼

企业投入网络安全意识培训课程是否值得呢?根据F-Secure的最新报告,员工报告的可疑电子邮件中约有三分之一确实是恶意的或高度可疑的,“误报率”很低。相比昂贵的安全产品和方案,企业在安全意识上投入的每一分钱都很超值。

F-Secure分析了2021年上半年全球企业员工标记的超过20万封可疑电子邮件,发现33%的此类邮件属于网络钓鱼。

网络钓鱼是网络犯罪分子最常用也是最有效的网络攻击手段之一,无论是窃取个人信息还是投放恶意软件。电子邮件是网络钓鱼的重要渠道,这些看上去合法的电子邮件通常需要收件人采取某种形式的行动。

例如,网络钓鱼电子邮件可以假冒快递公司并要求用户重新安排虚假递送,或者冒充银行要求某种更新或确认;他们有时看起来像是来自公司部门。它们的共同点是,它们试图通过诱骗员工点击链接、提供敏感信息或下载附件,从而为黑客提供实施攻击所需的路径(切入点)或者敏感信息。

虽然网络钓鱼的方式五花八门,包括社交媒体甚至电话,但电子邮件是最常见的方法,占2020年感染尝试的一半以上。企业电子邮件依然是犯罪分子利用员工入侵公司的快捷渠道,这就是为什么企业花费大量时间和金钱来教育员工以免他们上当的原因。

根据F-Secure的分析,在研究期间,用户平均每人提交2.14封电子邮件。平均而言,拥有1000名员工的企业每月报告116封可疑电子邮件。

用户报告可疑电子邮件的最常见原因是发现可疑链接(上图),在近60%的案例中被引用,紧随其后的是发现不正确或意外的发件人。参与者还提到可疑附件和可疑垃圾邮件是标记的理由。

F-Secure的分析表明,某些单词和短语与网络钓鱼的高风险相关。它们包括“警告”、“您的资金有”或“消息是给受信任的人”。

这指出了网络钓鱼电子邮件的一个共同点:它们通过操弄受害者的情绪,诱骗其点击恶意链接或打开附件,这是最直观和最容易的攻击手法。

尽管企业定期进行网络安全培训并提醒员工小心,但员工被欺骗的风险始终存在。研究人员此前发现,员工对网络钓鱼攻击的平均响应率约为20%,其中包含权威或紧急信息的网络钓鱼模拟的点击率更高。

但F-Secure的新研究似乎表明,员工仍然对网络钓鱼电子邮件有很好的洞察力。“你经常听到人们是安全的薄弱环节。这种观点过时了,没有考虑使用公司员工作为第一道防线的好处,”F-Secure咨询主管Riaan Naude说。“如果员工能够遵循切实可行的无痛报告流程,他们就可以发现收件箱中的大量威胁。”

不过,报告指出,员工安全意识的提升,同时也为已经不堪重负的SOC网络安全团队带来了大量额外的工作量。研究中67%的受访者认为工作流程自动化是减轻SOC团队痛苦的最重要措施。

员工报告的电子邮件数量只会增加。在过去的18个月里,网络安全团队不得不有效地适应远程工作的兴起,这极大地扩大了黑客的攻击面。随着新的工作模式的迅速部署,恶意黑客能够利用降低的安全防御能力来更加积极地针对公司。

根据英国国家网络安全中心(NCSC)的数据,去年共计删除了约140万个恶意(网络钓鱼)URL,这些URL被用于实施70万个在线诈骗。2020年删除的网络钓鱼URL比之前三年的总和还要多。

前一篇微软修补了66个CVE中的MSHTML漏洞
后一篇黑客攻击联合国计算机网络并窃取数据