根据Zimperium Labs最新发布的报告,移动设备已成为网络钓鱼攻击的主要目标,超过五分之四(82%)的网络钓鱼网站专门针对移动设备,并使用HTTPS协议给用户制造“安全感”。
中东、亚洲用户风险最大
报告发现,超过一半(54%)的企业因员工在移动设备上不当访问敏感信息而经历数据泄露。报告指出,“2023年,Zimperium分析的钓鱼网站中,有82%专门针对移动设备,并提供手机样式内容,相较于过去三年,这一比例增加了7%。” 这表明移动用户正成为网络钓鱼攻击的主要目标。
值得注意的是,根据Cloudflare的统计,亚洲、非洲和中东的移动互联网流量占比显著高于欧洲和美洲,面临移动钓鱼攻击的风险更大。在人口较多的的东亚和南亚国家中,印度的移动互联网流量占比超过80%排名第一,印度尼西亚(68%)、中国(65%)分别排名第二和第三。
全球移动互联网流量占比 来源:Cloudflare
在局势紧张的中东和西亚地区,也门移动互联网流量占比(83%)高居第一,叙利亚(82%)紧随其后,伊朗(71%)、伊拉克(70%)、巴基斯坦(70%)分列三、四、五名。
移动钓鱼攻击增长的三大因素
报告还指出,移动钓鱼攻击激增的背后有三个关键因素:工作中对个人设备的广泛使用、移动设备的网络安全卫生差以及使用AI技术的恶意行为者。移动设备相较于桌面系统,通常缺乏足够的安全措施,再加上屏幕较小,用户更容易忽略钓鱼网站的隐藏链接或虚假网址。
研究显示,71%的员工使用智能手机处理工作任务,60%通过手机进行工作相关的沟通。而82%的企业允许某种形式的自带设备(BYOD)政策,这导致约48%的员工使用个人手机访问工作信息,平均每天在手机上花费三小时处理工作事务。
Zimperium安全与架构副总裁Patrick Tiquet表示:“随着移动设备成为企业运营的关键工具,确保其安全变得至关重要,尤其是要防范各种类型的网络钓鱼攻击。企业应实施强大的移动设备管理(MDM)政策,确保公司发布的设备和BYOD设备符合安全标准。定期更新设备和安全软件可以及时修补漏洞,防止已知的移动用户安全威胁。”
HTTPS网络钓鱼兴起
报告指出,钓鱼网站使用HTTPS协议给用户制造“安全感”的趋势也愈加明显。Zimperium产品战略副总裁Krishna Vishnubhotla解释道:“虽然HTTPS钓鱼站点并不新鲜,但近年来,越来越多的钓鱼网站将目标锁定移动设备,这一趋势持续上升。”
他补充道:“移动设备的界面让用户更容易被迷惑,因为浏览器中很少显示完整的URL,而且往往会快速重定向。此外,用户习惯认为浏览器中带有锁头图标的链接是安全的,特别是在移动设备上。因此,用户不仅需要检查浏览器网址的锁头图标,还应该仔细核查网站域名,避免在钓鱼网站上输入敏感信息。”
移动设备管理和密码管理器需双管齐下
为了有效应对移动网络钓鱼攻击,专家建议使用移动设备管理(MDM)和密码管理器。MDM解决方案可以帮助企业实施安全策略,控制应用权限,确保设备及时更新安全补丁,减少钓鱼攻击的风险。
Tiquet强调:“MDM解决方案可以通过设备健康状态来强制执行合规并限制数据访问,确保移动安全策略的全面性,而不是单纯依赖操作系统更新。强加密和自动补丁管理可进一步增强了设备的安全性。”
此外,密码管理器能够生成并存储复杂且唯一的密码,防止用户在多个服务中重复使用凭据,降低钓鱼攻击的成功率。
参考链接:
https://blog.cloudflare.com/where-mobile-traffic-more-and-less-popular/https://www.csoonline.com/article/3545654/over-80-of-phishing-sites-now-target-mobile-devices.html