頂部點擊的網絡釣魚報告顯示計算機用戶是如何輕易被詐騙的
網絡釣魚在理論上不應該是如此有效的攻擊。當你仔細研究並考慮一些事情時,你會發現,在一個典型的場景中,有太多易於注意的因素會讓網絡犯罪分子消失。
首先,儘管這是一項相對容易的任務,但很少有網絡釣魚者會欺騙實際的發件人地址。大多數騙子都認為只是假冒名字就足以欺騙受害者,而且由於大多數電子郵件客戶端的設計,這種策略在某種程度上起作用。但是,你現在應該知道,Facebook不會通過Yahoo!與你聯繫。電子郵件地址,看到差異並不難。
此外,在大多數情況下,英語不是網絡釣魚者的母語,有時也表現出來。即使郵件寫得很好,電子郵件地址也是欺騙性的,並且網絡釣魚頁面是原始郵件的精確副本,騙子無法在合法URL上託管虛假登錄表單。
總而言之,理論上應該有許多東西可以使大多數網絡釣魚攻擊失效。然而,眾所周知,這種情況並沒有發生。這是因為有一個因素超過了錯誤的語法,虛假登錄表單的文本對齊,以及它在錯誤的網站上託管的事實。這個因素被稱為人類心靈。
不要低估網絡釣魚者
雖然許多網絡釣魚者可能很難通過他們的三年級英語考試,但有些人在涉及社會工程學時卻是絕對的主人。他們知道你的大腦是如何工作的,他們知道它將如何對不同類型的虛假信息做出反應。
有些騙子將這些技巧帶到了精美的藝術作品中,看看他們設計方案時使用的不同技巧會很有趣。幸運的是,專門從事網絡釣魚意識和培訓課程的公司KnowBe4已經有一段時間了。
他們監控了他們的網絡釣魚意識培訓課程,並且還看了一些野外攻擊,看看哪些類型的網絡釣魚電子郵件最容易打開。最近,他們發布了2018年第二季度的Top-Clicked網絡釣魚報告 。結果相當有趣。
在他們的反網絡釣魚培訓課程中,KnowBe4向員工提供了包含各種不同電子郵件主題的網絡釣魚電子郵件。點擊最多的前十名如下:
- 需要立即進行密碼檢查
- 安全警報
- 立即需要更改密碼
- 交付嘗試已經完成
- 向所有員工發布緊急新聞稿
- 在進程中取消激活[[email]]
- 修改假期和病假時間政策
- UPS標籤交付,1ZBE312TNY00015011
- 2017年員工回顧
- 公司政策 - 我們的國家政策更新
KnowBe4還監控了最常見的野外網絡釣魚攻擊中的主題,並編制了一份最受歡迎的攻擊列表. 這裡是:
- Microsoft:Re:重要的電子郵件備份失敗
- Microsoft / Office 365:Re:Clutter Highlight
- 富國銀行:您的富國銀行聯繫信息已更新
- 大通:您的支票賬戶上的欺詐活動 - 立即行動
- Office 365:立即更改您的密碼
- 亞馬遜:我們今天試圖提供您的包裹
- 亞馬遜:退款 - 需要有效的結算信息
- IT:勒索軟件掃描
- Docusign:您的Docusign帳戶已被暫停
- 你有一個安全的消息
- Microsoft / Office 365:Re:Clutter Highlight
- 富國銀行:您的富國銀行聯繫信息已更新
- 大通:您的支票賬戶上的欺詐活動 - 立即行動
- Office 365:立即更改您的密碼
- 亞馬遜:我們今天試圖提供您的包裹
- 亞馬遜:退款 - 需要有效的結算信息
- IT:勒索軟件掃描
- Docusign:您的Docusign帳戶已被暫停
- 你有一個安全的消息
安全問題使人們做不安全的事情
正如您所看到的,有各種各樣的組織,其用戶是目標,並且還有大量的誘餌似乎非常有效。然而,大多數主題都圍繞著安全問題,這是非常具有諷刺意味的。
它表明人們知道互聯網有時會有多危險。用戶似乎明白風險存在,然而,他們不知道他們應該做什麼,不應該做什麼來保持安全。
恐嚇戰術長期以來一直是騙子軍火庫的一部分,不幸的是,他們似乎仍然有效。這可以教給我們兩件事。首先,我們可以了解到網絡釣魚攻擊的巨大成功與教育一樣,與基本的人性和下意識反應一樣。反過來,這意味著騙子不太可能很快停止使用它們。
你能做的就是試圖違背你的直覺。當您看到一封電子郵件警告您與您的在線安全相關的內容時,請嘗試採用更加平庸的方法。檢查發件人,仔細閱讀整個內容,最重要的是,如果郵件告訴您需要訪問某個URL,請不要點擊任何鏈接,並確保密切關注地址欄。這是確保網絡釣魚者決定攻擊你的唯一方法,他們會空手而歸。
