深信服科技：2023网络钓鱼趋势分析报告

2023 PHISHING TREND ANALYSISREPORT 千里目 - 深盾终端实验室 目录 概述01 摘要01 数字里的网络钓鱼03 2023，网络钓鱼事件数量持续攀升2023，网络钓鱼攻击呈现季节波动特征2023，网络钓鱼攻击行业分布集中2023，中小型企业面对网络钓鱼的挑战更大2023，网络钓鱼攻击渠道多样2023，钓鱼文件“术业有专攻”030405060708 重点行业钓鱼分析09 制造行业政府机构医疗行业教育行业金融行业0910101111 2023年网络钓鱼的主要特点12 邮件依旧是传播钓鱼的主力12 案例一案例二1213 利用即时通讯软件钓鱼即时通讯软件钓鱼案例1414 二维码钓鱼的广泛使用15 二维码钓鱼案例15 商务邮件泄露导致经济损失BEC钓鱼案例双/多因素认证的绕过双/多因素认证的绕过钓鱼案例16161718 GPT与网络钓鱼19 钓鱼GPT的快速发展GPT与钓鱼的攻与防1920 2023典型钓鱼案例分析21 网络钓鱼防御术23 面向大型单位内部防钓鱼的建议深信服防钓鱼安全能力全景预防⸺提升安全意识，提高钓鱼难度终端防御⸺解决邮件、文件、网站、U盘钓鱼问题边界防御⸺解决钓鱼URL，钓鱼反联问题深信服防钓鱼核心技术GPT赋能防钓鱼24252526262627 总结与展望28 概述 随着互联网的快速发展和广泛应用，网络钓鱼活动带来的安全隐患愈演愈烈。因应威胁发展，我们编撰了此份分析报告，旨在全面了解其发展态势，并提醒相关部门、企业和公众加强防范。 在本报告中，我们将详细梳理网络钓鱼的近况，探讨当前的防范策略和技术手段，并提出一些建议供参考。我们认为，要有效对抗网络钓鱼威胁，需要综合采取加强技术防范、提高公众安全意识、加强法律法规建设等多方面措施。只有通过全社会的共同努力，才能有效遏制网络钓鱼的蔓延，守护个人和企业的信息安全。 本报告除明确注明来源以外，数据均来自深信服千里目安全技术中心深盾终端实验室，目的仅为帮助客户及时了解中国或其他地区网络钓鱼的最新动态和发展，仅供参考。 本报告中所含内容乃一般性信息，不应被视为任何意义上的决策意见或依据，任何深信服科技股份有限公司的关联机构、附属机构（统称为“深信服股份”）并不因此构成提供任何专业建议或服务。 摘要 快速增长的网络钓鱼数量 根据 SlashNext 公司的报告显示，2023 年网络钓鱼数量较 2022 年大幅增长。数据显示，自 2022年第四季度至 2023 年第三季度，网络钓鱼邮件数量增加了 1265%，平均每天发送了约 31,000 封网络钓鱼攻击邮件。此外，针对凭证的网络钓鱼攻击数量增加了 967%。这些数据表明网络钓鱼攻击呈现快速增长趋势，给网络安全带来严重威胁。 攻击技术的快速演进 攻击技术的快速演进是网络安全领域的一大特点。钓鱼作为主要的获取初始访问权限的手段，攻击者不断调整钓鱼内容和形式，使其更具真实性和诱惑力。同时，攻击者也在探索新的攻击途径，如社交工程获取账号密码，或利用供应链渗透进入目标网络。 此外，使用的恶意附件越来越多样化。除了传统方式外，攻击者还采用了诸如 Python、golang等语言编译的可执行程序，以及二维码诱导扫描等新手法。尽管防御技术不断提升，但攻击者的技术和动机也在增强。因此，企业安全防护依然面临严峻挑战。 不断扩宽的攻击渠道 钓鱼邮件和钓鱼网站仍然是最常见的钓鱼手段。犯罪分子制作出逼真的网站或发送包含恶意链接的电子邮件，诱使用户泄露个人信息或点击链接。随着社交软件的普及，利用这些平台进行钓鱼攻击也日益增多。同时，手机钓鱼也成为新兴领域。通过短信或应用程序进行钓鱼，成功率更高，因为用户在手机上打开链接的警惕性较低。这给防范工作带来了新挑战。利用新兴技术如云服务、加密货币进行钓鱼活动也有所增加。网络钓鱼已从最初的邮件发展到利用移动互联网、社交网络及新技术的多渠道复合型攻击。这给广大网络用户的信息安全带来前所未有的威胁。需要加强技术防护，提升全民安全意识。 针对凭据的钓鱼更为复杂 凭据钓鱼通常发生在仿真网站或其他表单中，要求用户输入账号密码。攻击者通过仿制知名网站的登录页面，包括页面设计、颜色和标志等，使用户难以辨别虚假性。这种高度仿真的伪装让用户误以为他们在与正规网站互动，因此输入敏感凭据。攻击者利用社会工程学手段提高攻击成功率，通过钓鱼邮件或消息使用紧急语言，制造紧急处理氛围，迫使用户匆忙操作而不经思考，增加用户受骗可能性。此外，攻击者可能通过欺骗用户提供多因素身份验证的令牌或验证码，绕过传统凭据防护手段。随着人工智能介入，攻击者开始使用自动化工具生成个性化的钓鱼攻击，根据目标用户特征生成更具针对性的虚假页面或信息，提高攻击成功率。 共同驱动的经济和政治目的 当前，一些网络犯罪分子为了谋取经济利益而积极从事网络犯罪活动。同时，地缘政治紧张局势也在一定程度上推动了网络战争的发展，使得钓鱼攻击等网络犯罪表现出更为复杂和多层次的特征。在过去的 2023 年，钓鱼攻击作为一种网络犯罪手段，受到了经济和政治目的的共同驱动的影响，呈现出多层次的复杂性。攻击者利用经济不景气的时机更积极地开展网络犯罪，而地缘政治紧张局势则为这些犯罪提供了更多的可乘之机。网络钓鱼攻击不仅仅是为了获取经济利益，还可能与政治渗透、信息操控等活动相结合，对国家和个人的安全构成威胁。 数字里的网络钓鱼 2023，网络钓鱼事件数量持续攀升 随着世界格局走向多极化和经济承压前行，网络犯罪数量开始上升。据深信服千里目安全技术中心统计，2023 年网络钓鱼攻击事件总数约为 16 亿起，同比增长 166%，较 2022 年的 9.6 亿起有显著增长。 近 5 年来，网络钓鱼攻击呈现上升趋势，年复合增长率约为 15%，增速较快。2023 年由于政治和经济原因，增速相对较快。随着互联网用户规模扩大和攻击技术升级，未来这种攻击形式可能持续活跃，但增速应有所缓和。 2023，网络钓鱼攻击呈现季节波动特征 2023 年网络钓鱼攻击呈现季节波动特征，整体仍处于高发状态，安全防范任务依然紧迫。 根据深信服千里目安全技术中心统计，一季度攻击数量高达 5.6 亿起，较为突出。二季度数量急剧下降至 1.8 亿起，同比下降近 68%，达到近年低点，可能与热点事件较少有关。三季度攻击数量激增至 4.9 亿起，环比增长超过 173%，重回高水平。四季度攻击量为 3.6 亿起，属中上水平，略低于高峰三季度，但仍高于一季度。年末效应带来小高峰。针对这一现象，建议加强热点期的防护力度，利用间歇窗口进行改进，适应网络钓鱼攻击的周期性高发特点。 2023，网络钓鱼攻击行业分布集中 2023 年，制造业、服务业、政府部门、医疗行业和教育行业等行业都面临网络钓鱼攻击的威胁。 深信服千里目安全技术中心针对不同行业的网络钓鱼攻击次数进行统计，结果显示制造业占比最高，达 27.5%，可能是因为该行业的网络环境复杂，安全防护相对薄弱。服务业排名第二，占比为 15.6%，这可能与该行业员工众多，信息安全培训不够有关。政府部门排名第三，占比为 11.6%，由于数据资产和业务管理敏感易成为攻击目标。医疗行业占比为 9.2%，也面临类似威胁。教育行业占比为 8.4%，可能由于员工信息安全意识和防护技能普遍偏弱。其他行业如研究、批发、互联网、建筑和金融等受攻击比例较低，但仍存在一定风险。 因此，各行业都应重视网络钓鱼攻击这一共性安全威胁，根据自身业务环境和系统漏洞特点，有针对地提升员工警惕性，并全面加强安全防护措施。 2023，中小型企业面对网络钓鱼的挑战更大 根据我们对受钓鱼攻击成功企业的统计发现，中小型企业遭受钓鱼攻击最为频繁，其次是超大型企业，而大型企业受到的钓鱼攻击次数相对较少。我们推测这种现象可能源于几个关键因素。首先，中小型企业由于经济实力有限，难以全面投入安全防护，加上员工的安全意识相对薄弱，使得他们更容易被钓鱼攻陷。其次，对于超大型企业而言，规模庞大且员工众多，难以确保每位员工都能对钓鱼威胁保持高度警惕，使得这些企业也容易被钓鱼攻击成功。而大型企业通常具备相对完善的安全建设，员工也具备一定的安全意识，因此被钓鱼成功的几率较低。 2023，网络钓鱼攻击渠道多样 根据我们对网络钓鱼攻击渠道的监测统计显示，电子邮件仍然是网络犯罪分子传递恶意载荷的主要方式，占比高达35.2%，且呈上升趋势。这主要是因为电子邮件具有普及度高、易于大规模传播等优势，自动化攻击逐步完善。短信和彩信渠道目前占比约为 15%，近年来随着移动终端普及和数据泄露增加，该渠道的攻击数量也在上升。 此外，根据数据显示，创建钓鱼网站进行欺诈、利用搜索引擎投放诱导广告、利用社交网络和即时通讯软件发起钓鱼活动也成为重要的网络钓鱼手段，占比分别为 13.4%，12.8%，10%。网络钓鱼攻击正试图渗透覆盖互联网几乎所有主要社交媒介渠道。 因此，相关企业和用户需要提高对电子邮件、短信、第三方网站、社交软件等多个维度安全风险的认识，做到全方位防范。仅仅依赖于某一渠道的安全措施是远远不够的。 2023，钓鱼文件“术业有专攻” 在网络钓鱼活动中，犯罪分子使用最多的文件类型包括 exe、dll、doc、html 和 vbs 等。根据监测统计，这些文件形式的钓鱼出现频率较高。不同类型文件的利用方式也不尽相同：exe 和 dll 用于运行并安装木马程序，html 和 vbs 用于钓鱼网站攻击或者通过 html、vbs 文件释放 / 下载其他文件，而 doc 经常用于针对用户的社会工程学诈骗或漏洞攻击。各种文件类型可以互相配合，发挥综合效果。 制造行业 当前网络环境下，制造业面临着愈演愈烈的网络钓鱼攻击威胁。这些攻击可能伪装成供应链伙伴、发送虚假订单或内部通知，以获取敏感信息或入侵内部系统。为了应对这一威胁，制造业需要实施多层次的防御措施。 首先，通过分析过去的网络钓鱼攻击案例，了解攻击者的模式和目标，制定有针对性的防御策略。其次，实施行为异常检测机制，监控供应链成员的行为模式，及时识别和应对异常操作。定期进行钓鱼攻击模拟和培训，提高员工对钓鱼攻击的识别和应对能力。同时，利用相关技术对电子邮件内容、链接和附件进行深度分析，快速识别潜在的钓鱼信息，降低安全风险。另外，强化与供应链合作伙伴的安全合作至关重要，可以确保整个供应链的安全性。制造业应综合运用技术防御、持续的教育培训和合作伙伴管理，构建全方位的网络安全防护体系，更有效地对抗网络钓鱼攻击，降低潜在威胁对业务的影响。 2023 年 4 月份，奥地利一家实验室仪器和过程测量系统制造商收到了勒索组织 Black Basta 发来的钓鱼邮件。随后，攻击者加密了该公司约 10% 的内部 PC 和服务器，导致公司全球范围内的大部分系统和服务都被关闭。 政府机构 政府部门作为国家的重要机关，掌握着大量敏感数据，如公民个人信息和行政审批数据，成为网络钓鱼攻击的主要目标之一并非意外。数据显示，政府系统和公共部门遭受相关威胁攻击的比例已超过 10%，并持续上升。攻击者可能会伪装成政府机构、官员或政府合作伙伴，发送虚假通知、恶意链接或要求敏感信息的电子邮件，试图窃取机密数据或入侵政府系统。 我们推测政府部门受到针对主要有以下原因：首先，政府部门广泛掌握着国计民生的大量敏感数据，这些数据在黑灰产市场具有极高的价值。其次，政府信息系统长期以来相对封闭，对外部网络环境缺乏充分的安全监控。作为网络空间主权的维护者，政府的网络防御意识和技术防线依然需要不断强化。第三，政府公务人员作为重要信息接收和处理者，普遍缺乏应有的网络欺诈识别能力和安全防范意识，这为各类定制化社会工程欺诈攻击提供了可乘之机。因此，相关部门有必要从加强政务信息系统的云安全防护、实施网络环境全面监测、提升公务员信息安全培训等方面入手，建立完善的网络钓鱼防范体系，有效保障政府数据与业务安全。 在 2023 年 12 月 15 日至