这是所有橄榄球进攻协调员的基本原则:如果某项战术奏效,就持续使用它,直到防守方证明他们能阻止它。你的头号外接手总能压制对手的新秀角卫?继续传球给他。你的进攻锋线开辟的缺口让每次冲球都能推进7码?继续跑球进攻。遗憾的是,网络犯罪分子也领悟了同样的道理。
反网络钓鱼工作组(APWG)最新报告显示,2016年第一季度至第二季度期间,网络钓鱼攻击数量环比增长61%。1月至3月期间攻击事件达289,371起,而随后三个月内该数字攀升至466,065起。
为什么?
因为一旦发现对手的弱点,就要不断利用它,直到对方证明自己能阻止为止。网络钓鱼在坏人中盛行……因为它确实管用。
在之前的博客文章中,我们曾提及2015年网络钓鱼攻击的成功率高达84%。对于身处企业界的我们而言,这个数字几乎不会令人惊讶——毕竟每天收件箱涌入100封新邮件,而处理完它们仅有27分钟的空档,紧接着就要参加下一场会议。即便是从事网络安全工作的我们,也可能中招(参见2011年RSA安全公司遭入侵事件)。
网络安全专家最不安之处——或者说理应最不安之处——在于钓鱼攻击的成功及其随之而来的盛行,这种技术完全瓦解了终端设备上的传统安全防御体系。钓鱼攻击者根本不在乎SSL漏洞、开放端口、防火墙等防护措施,他们完全依赖于企业员工因繁忙日程而产生的疏忽大意。 迄今无人开发出能消除这种隐患的软件,短期内也不太可能出现。
对这一现实的认知已延伸至网络安全领域的最高层。我近期参加了在奥兰多举行的安泰保险2016全球安全第三方会议,有幸聆听了联邦调查局首席网络安全探员布雷特·莱瑟曼的主题演讲:"我无法强调检测时间的重要性……没有人能100%阻止攻击。" 他在演讲中着重探讨了所谓"检测缺口"现象,将成功入侵后的最初几小时比作儿童失踪案的黄金搜寻期。无论面对网络罪犯还是绑架犯,犯罪分子逃脱追捕的时间越长,案件获得理想结局的可能性就越低。
网络钓鱼之所以阴险,不仅在于其成功率高,更在于其隐蔽性。当用户点击精心设计的钓鱼攻击中的恶意链接时,既不会导致电脑瘫痪,也不会触发警报或引发火灾。它只是悄然启动一个漫长的隐蔽过程——若遭遇固守陈规、对当今威胁毫无准备的组织,便可能造成重大损害。
在网络安全界证明其能遏制此类攻击之前,钓鱼攻击的季度增长势头将持续加速。因此,遗憾的是,在可预见的未来,普通网络犯罪分子的作战策划工作将远比进攻协调员轻松得多。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
