近日，全球知名的应用交付厂商F5发布了《2018年网络钓鱼和欺诈报告：节假日为攻击峰值》。

据报告显示，2018年10月、11月和12月的欺诈事件比往年攀升了超过50%。其中，网络钓鱼仍然是首选渠道，钓鱼者通过盗取登录认证和信用卡号码等私密信息而实现犯罪。

 

　　该报告指出了网络钓鱼的几个关键点，包括手段、目标等：

1.主要手法是盗用身份：从2018年9月1日到10月31日，71%的虚假钓鱼案例均是伪装成10家顶级科技行业公司，从而获得受害者的信任并实现欺诈。

2.重点攻击对象是金融机构：无疑，金融机构拥有大量的资金，这让他们成为钓鱼者的首选目标。但F5预计，未来针对电子商务和物流行业的诈骗比重将会持续上升。

 

说起来，网络钓鱼并不罕见，它通过一个心理诱饵，一步步引导受害者，让受害者以为该虚假网络程序和应用是真实可信的，进而掉进“圈套”。这个过程可分解为如下步骤：

　　a.目标选择：

即寻找合适的受害者，特别要透过电子邮件地址和背景信息，总结出一个具有吸引力的心理痛点。

　　b.社交机制：

布置恰当的诈骗诱饵，诱使受害者掉入陷阱，以窃取他们的账户并植入恶意软件。在鱼叉式网络的钓鱼案例中，这种诱饵是针对目标受害者而定制的。每当年终岁尾，网络钓鱼者会利用年终和节假日的各类活动包装出伪装外衣。

　　c.技术工程：

钓鱼者躲避开安全程序的扫描，以构建虚假网站，制作恶意软件等技术性方法开展诈骗。

针对网络钓鱼，一方面要加强安全意识培训，另一方面是控制员工邮箱中的钓鱼电子邮件。

 

据了解，通过培训员工辨别网络钓鱼骗局，企业能有效地将恶意电子邮件，链接和附件的点击率从33%降低到13%。

　　对普通消费者来说，F5给出了三个建议：

1.减少URLS应用：尽量减少在如bit.ly这类服务网址上的浏览时间，因为他们都可以是恶性的。用户应该打开新的浏览器选项卡，并搜索涉及到的有关内容或网站。

2.重视安全证书警告：警告会显示在用户浏览器，以提示当前登录网站的安全证书无效，或尚未由受信任的机构颁发证书。如果用户认为该网站合法，不该忽略警告，应另在单独的浏览器窗口中搜索该网站。

3.认真检查网址：伪造的网络钓鱼网站往往精心制作，伪装出充分的合法性。因此，在提供登录认证或帐户等任何个人信息之前，用户应养成认真检查地址栏中网址的习惯。

对企业来说，随着网络钓鱼变得愈加复杂和精明，安全意识培训对于保护企业和员工免受依托技术的网络钓鱼诈骗变得至关重要。

其中，包括电子邮件标签，防病毒(AV)软件，Web过滤和多因素身份验证等诸多方面的措施。

因此，企业需要构建出一个涵盖员工、流程和技术的综合可控安全架构。

(责任编辑：安博涛)