【安全报告】2016企业网络钓鱼威胁研究报告（上）

【安全报告】2016企业网络钓鱼威胁研究报告（上）

2016-12-26 17:07:10
来源：phishme.com 作者：pwn_361

阅读：649次
点赞(0)
收藏

【安全报告】2016企业网络钓鱼威胁研究报告（上）

翻译：pwn_361

预估稿费：300RMB（不服你也来投稿啊！）

投稿方式：发送邮件至linwei#360.cn，或登陆网页版在线投稿

传送门

【技术分享】2016企业网络钓鱼威胁研究报告（下）

概述

目前，91%的网络攻击和数据泄漏都是以钓鱼攻击开始的，今年以来，全球钓鱼攻击增长了55%，以商业内容为主题的钓鱼攻击造成的损失增长了1300%，在所有钓鱼邮件的样本中，97.25%为勒索软件，勒索钓鱼增长了400%。如果您对钓鱼邮件威胁、企业如何应对感兴趣，请你耐心读完这篇研究报告。

PhishMe介绍

为了更好的理解这篇研究报告，我们有必要介绍一下PhishMe 公司，正是这家公司发布了这篇研究报告。

“鱼叉式网络钓鱼”是骗子常用的手法，这种攻击方法的成功率很高。企业中的任何一个人，点击链接、打开附件文件就有可能为攻击者开启了整个企业的大门，攻击者就可以以此为基点，在企业内部渗透，接触到企业内部的所有信息了。这种方法虽然早就出现，但是到目前为止还是企业安全面临的最头疼和最严峻的安全威胁，目前唯一有效的方法就是告诉你的员工，让他们认识到情况。这需要对员工进行考察，看看谁会成为受害者。那些打开假冒附件的人都应该接受培训，让他们知道自己错在哪里。这可以让员工提高主动安全意识。如果有很多人都成为受害者，那么就应该进行正规的教育了。其次，在发现存在可疑钓鱼邮件时，鼓励员工及时上传并报告给安全团队，这样安全团队才能及时发现存在的网络钓鱼活动，并着手将危害降到最低。针对这一整套的流程，网络安全初创公司 PhishMe推出了相应的解决方案，这是一家领先的安全行为管理服务提供商，旨在帮助企业对抗恶意软件造成的钓鱼攻击，而PhishMe的工具可以让员工识别出带有恶意钓鱼攻击性质的邮件，并将恶意邮件汇报给公司内部的网络安全小组。为公司及时堵住漏洞创造条件。

为了更好理解报告中的内容，有必要介绍一下PhishMe的一些工具。

PhishMe Simulator：是一个能发送模拟钓鱼邮件的模拟程序，会模拟现实生活中钓鱼的情景、语境，允许组织评估、测试和教育所有员工关于网络钓鱼的威胁，提高员工的安全意识。

PhishMe Reporter：一个为方便员工报告可疑钓鱼攻击的工具，员工发现邮件有可疑点后，只需要一个点击，就可以将可疑文件报告给安全团队，可以让安全团队及时发现存在的网络钓鱼活动，并立即着手调查，将危害降到最低。目前，全球安装PhishMe Reporter的用户约有500万个，根据这个安装量和用户数据，我们可以统计出人们上传并报告钓鱼邮件的精确数量和比例。

前言

分享这篇研究报告让我们感到非常兴奋，因为这些钓鱼攻击研究数据是以前没有过的。

我们这份报告的研究基础是：我们收集了2015年1月到2016年7月间，来自PhishMe用户的1000多个样本数据、和PhishMe向用户发送的4000万封模拟钓鱼邮件、及其测试结果，横跨世界财富500强和23个公共部门组织，有15种人类语言。

2008年开始，PhishMe收集和聚合网络钓鱼威胁、并开展对用户的模拟钓鱼攻击，收集用户主动报告的数据。这个报告评估了用户在面对钓鱼攻击时，容易感染的可能性(易感性、易感率)、分析了员工点击可疑链接和邮件附件的原因，并第一次分析了员工及时报告可疑邮件，对企业安全的重要性。

网络钓鱼仍然是全世界企业和组织面临的最大安全威胁，以后仍然会继续挑战安全团队，并发挥它们的能力，进入企业的内部网络，偷取财产和用户数据。而且现在比以往任何时候都要严峻，企业必须要有能力理解和识别出高危钓鱼邮件的类型、常用的主题和元素。并能很好的使员工识别出它们，并报告给内部信息安全团队。

研究综述

根据在全世界23个行业中，发送的超过4000万模拟钓鱼邮件，PhishMe得出了以下结论：

1. 商业类型的钓鱼邮件仍然是用户最难识别的类型。

2. 钓鱼邮件采用最多的主题是：办公通讯、财务和合同。

3. 钓鱼邮件采用最多的情感激励因素：好奇心、恐惧感、紧迫感。

4. 当有一个失败的模拟后(员工点击了模拟钓鱼邮件)，重复钓鱼攻击的易感率就会降低大概20%。

5. 当简单的报告工具被部署到公司80%以上的人口时，用户发现恶意邮件，并上报的概率就大于了易感率，即便是第一年。

6. 积极报告可疑的钓鱼事件，可以将探测到入侵的时间降低到平均的1.2小时，目前行业的平均水平是146天。

这个结果验证了一件事情，钓鱼邮件内容的复杂性和所处的语境直接影响员工对钓鱼攻击的易感性，持续的安全培训计划明显能培养和改变员工的安全行为。企业面对这个问题的措施是降低员工的易感性、强调重要的准则、和提高员工的参与度，加强对威胁的探测，并避免可能的损失。

为什么要对员工进行行为培训？

钓鱼攻击仍然是最大的威胁，攻击者是狡猾的，有许多不同的策略来诱惑人们点击或打开附件。如果一个人从来没见过这些诱人的策略，他又怎么去识别出一个钓鱼邮件呢？所以，必须有必要的行为培训。

在企业中，不同的员工扮演着不同的角色，一个角色丰富的目标，意味着攻击者获得公司的系统权限会更容易，由于员工个人情感和邮件上下文语境上的易感性，他们很容易成为攻击者的目标，他们有可能因为个人工作或情感需要，而不会第一时间关注邮件安全。所以，必须得有必要的行为培训。

网络钓鱼攻击一般有以下几种方式：

只点击：一个包含恶意链接的电子邮件，需要受害者点击。

输入数据：一个包含指向定制登录页面链接的电子邮件，会诱使员工输入敏感信息。

邮件附件：包含附件的邮件，该附件一般为恶意文件。

双邮件：顾名思义，就是向一个人发送了两个邮件，一个是正常的邮件，一个是包含恶意元素的邮件。

高度针对性：利用从内部和公开渠道收集的目标人信息，运用先进的社会工程学策略，针对目标个性，有针对性的攻击。

钓鱼邮件采用什么策略或主题最有可能成功？

作为钓鱼模拟程序的一部分，PhishMe为客户提供很多符合真实世界场景的邮件主题和模板样品，能模仿各种行业的钓鱼攻击和基本的情感语境。(PhishMe Simulator会模仿各种真实情况，向用户发送模拟钓鱼邮件，测试用户的安全意识，及成功入侵的可能性)。

我们的数据显示，采用办公通讯类、财务/合同类主题取得了最高的易感率，分别是19.9%和18.6%，如果你在你的办公信箱中，收到了一个与业务相关的邮件，你点击它的可能性很大，这对于钓鱼攻击是一个完美的场景。其他主题，如零售/购物、和对外通讯等，易感率也比较高，如下：

结合我们去年的研究结果，证明了钓鱼邮件的主题采用与员工业务有关的“上下文/通信”主题时，效果比采用其它主题好太多。这一点需要充分理解和认识到。

下面是不同行业采用不同钓鱼邮件主题时的具体响应率：

“基准场景”与“自定义模板”相比

PhishMe提供了用于企业分析的基准模板。是PhishMe基于大数据研发的，已经申请了专利。这个基准模板实际上可以看作是一个钓鱼邮件的模板，是根据不同行业，采用社会工程学，并针对员工实际业务中的语境、环境等研发成的一个模板数据。PhishMe的研究表明，用这些基准数据做为钓鱼攻击的模板时，用户面被钓鱼攻击的易感率要比“自定义的钓鱼模板”还要高，这就说明PhishMe针对多种行业，研发的多种基准模板数据，是符合行业习惯和员工实际业务习惯和语境的。PhishMe Simulator的模拟变量是可变的，可以是基准场景的模板，也可以是自定义模板。

因此，在相同的钓鱼场景下，这就允许多个公司的测试结果在匿名的环境下互相比较了，这可以让一个公司知道他们离行业整体安全水平还有多远，是否需要对员工进行安全培训。

邮件附件与链接相比

下面有两个模拟钓鱼邮件模板，用户识别时都非常困难，但是，如上所述，基准模板和自定义模板的模拟钓鱼易感率是不一样的：

基准模板有31%的易感率；

自定义模板有24%的易感率；

图 1：自定义模板(只点击)

图 2：基准模板

图1和图2显示了基准模板和自定义模板的差异，一个是打开附件，一个是点击链接。结果为什么不一样呢，因为基于邮件附件的基准模板更符合大多数人工作中的实际场景，员工识别钓鱼邮件时就更困难，因此，基准模板的易感率就更高。

上面的结果表明，和业务紧密相关的钓鱼邮件对于员工来讲，很难识别和报告，企业应该有标准的操作程序和步骤，特别是涉及到内部和外部业务通讯时，比如一个企业可以规定通讯的书面格式，以及严格的规章流程，这样的话就有可能及时发现那些格式和流程都不符合公司规定的邮件，换句话说，不遵循标准格式或适当流程的电子邮件会更容易被员工识别。

钓鱼攻击在不同行业中的响应率统计

PhishMe针对多个不同行业，进行基于基准模板的模拟钓鱼攻击，模拟钓鱼攻击在不同行业中的得到响应的概率如下：

可以看到，不同行业的响应率有很大差异，运输行业对钓鱼邮件达到了50%的响应率，这是一个恐怖的数据，我的天呐，太危险了，也就是说有50%的人都会点击。卫生保健行业是31%，非营利行业响应率降到了5%。

这就需要进一步强调，在你的企业中建立通讯基本标准和适当流程的重要性，并将那些高响应率的场景向员工多次强调，增强安全意识，才有可能最大限度的识别出钓鱼威胁。

有针对性的攻击者和其他恶意行为者变得越来越成熟，不同类型的钓鱼电子邮件不断出现在现实世界环境中，内容的复杂性和个人情绪上的激励因素往往给一个特殊钓鱼邮件造就了机会。

正如我们已经看到的，商业内容的钓鱼邮件很难被用户识别出来并报告。除了内容因素，我们再加两个其他因素：技术困难因素（能否看到邮件中存在的问题或错误），和情感激励因素。

导致钓鱼成功的情感情绪激励因素

正常人会受个人情绪心情的影响，这很正常，但是如何使我们的情绪变的更好呢。面对危险，我们为了保护自己，每个人都会有与生俱来的自动反应，就像条件反射一样。这就导致了我们的情绪和感情在理性的思考前就已经被触发了。

比如，一个员工正为工作中的一个问题着急上火时，而一个攻击者恰好在此时，用这个问题的解决方案来引诱这个人，那这个人有可能就会不加思索，直接打开这个恶意文件。

因此，在一个强大情感的引诱下，我们面对钓鱼攻击时，在潜意识层面，危险性就很大。为了减轻用户的这种自然反应，那些能导致我们不加思索的点击钓鱼邮件的情感因素，我们就必须要去理解。当我们理解这样的因素以后，我们就可以培训我们的员工，让他们在处理邮件时，对他们的第一反应千万要保持谨慎，千万不要急着点，首先看一看邮件格式、内容，在技术和格式上有没有什么异常或错误，排除掉钓鱼邮件的可能。