CTI論壇(ctiforum.com)（編譯/老秦）： 網絡釣魚是一個代價高昂的陷阱，生產力損失的間接成本從 2015 年的 180 萬美元激增至 2021 年平均每家公司的 320 萬美元。這使得它成為一個值得關注的突出攻擊，因為公司正在成為網絡釣魚攻擊的受害者，并且日趨嚴重。

　　最近，通信巨頭Twilio證實，黑客通過網絡釣魚攻擊成功誘騙員工交出公司登錄憑據，從而訪問了客戶數(shù)據。

　　該攻擊使用聲稱來自Twilio的 IT 部門的 SMS 網絡釣魚消息，暗示員工的密碼已過期或他們的日程安排已更改，并建議目標使用攻擊者控制的欺騙性網址登錄。

　　Twilio表示，攻擊者發(fā)送這些消息看起來是合法的，包括"Okta"和"SSO"等詞，指的是單點登錄，許多公司使用單點登錄來保護對其內部應用程序的訪問。（Okta本身在今年早些時候也受到了攻擊，黑客可以訪問其內部系統(tǒng)。）

　　總體而言，由于 COVID-19 大流行，網絡犯罪（包括從盜竊或挪用公款到數(shù)據黑客攻擊和破壞等方方面面）增加了 600%。隨著數(shù)量的增加，網絡犯罪的嚴重程度也在上升，漏洞和黑客攻擊對于當今的公司來說是至關重要的，甚至是致命的傷害。 Cybersecurity Ventures 預計，未來五年全球網絡犯罪成本將以每年 15% 的速度增長，到 2025 年將達到每年 10.5 萬億美元，高于 2015 年的 3 萬億美元。

　　各種類型的攻擊都在上升。福布斯顧問最近的一項研究使用了 FBI 互聯(lián)網犯罪投訴中心 (IC3) 過去五年的數(shù)據，發(fā)現(xiàn)當將十大最常見的違規(guī)方法加起來時，已發(fā)生超過 160 萬起違規(guī)行為。勒索、個人數(shù)據泄露和身份盜竊等攻擊的數(shù)量和損失都在增長。

　　"在所有類型的網絡攻擊中，各種規(guī)模的組織都必須格外警惕的一種是網絡釣魚攻擊。"DefensX的創(chuàng)始人兼首席執(zhí)行官 Osman Erkan說："網絡釣魚攻擊是發(fā)送看似來自可靠來源的欺詐性通信的做法，通常通過電子郵件進行，但也可以通過短信進行。這些攻擊的目標是竊取信用卡和登錄信息等敏感數(shù)據，或在受害者的機器上安裝惡意軟件。從那里，攻擊者可以幫助訪問您的在線帳戶和個人數(shù)據，獲得修改和破壞連接系統(tǒng)的權限，例如銷售點終端和訂單處理系統(tǒng)--在某些情況下劫持整個計算機網絡，直到支付贖金。"

　　網絡犯罪分子通常使用網絡釣魚作為攻擊，利用組織的最后一道網絡防御--員工--Erkan說，他是世界頂級網絡安全專家之一。

　　"攻擊始于旨在引誘受害者的欺詐性電子郵件或其他通信，其消息看起來好像來自受信任的發(fā)件人，"Erkan說。"如果它欺騙了受害者，他或她就會被誘騙提供機密信息--通常是在詐騙網站上，或者有時惡意軟件也會下載到目標的計算機上。有新的方法可以保護組織免受這些日益危險的威脅，我們正在盡我們所能來啟發(fā)領導者，有解決可能導致與合規(guī)相關的罰款，甚至更糟糕的是，他們的業(yè)務滅絕的問題的解決方案。"

　　Twilio表示，自攻擊以來，它已撤銷對受感染員工賬戶的訪問權限，并增加了安全培訓，以確保員工對社會工程攻擊保持"高度警惕"。他們并不是當今唯一試圖加強網絡安全的公司，因為 54% 的公司表示，他們的 IT 部門目前還不夠成熟，無法應對高級網絡攻擊。許多企業(yè)現(xiàn)在正在尋找解決方案和協(xié)議來幫助阻止?jié)撛诘木W絡釣魚攻擊。

　　"以'永不信任，始終驗證'為原則的零信任解決方案在今天是賭注，"Erkan解釋說。"有了這個，所有實體在這個范式中都被認為是不可信的，除非通過身份驗證/授權證明不是這樣。"

　　盡管網絡安全需求的增長主要是在過去十年內，但零信任已經經歷了大幅增長。 2020 年全球零信任證券市場規(guī)模為 198 億美元，預計 2021 年至 2028 年的復合年增長率 (CAGR) 為 15.2%。快速增長可歸因于零信任可以提供在防御網絡釣魚攻擊時的好處。

　　"通過在他們的電子郵件服務器/服務/移動設備中實施零信任，組織可以更好地保護他們的用戶免受網絡釣魚攻擊，"Erkan說。"許多現(xiàn)有的反網絡釣魚產品嚴重依賴只能檢測/隔離已知威脅的阻止列表和過濾器。基于零信任的創(chuàng)新將阻止來自未經授權的收件人的任何電子郵件，并分析電子郵件內容以查找更常見/已知的威脅，但對于掌握了社會工程藝術的資金充足且盈利的企業(yè)而言，這還不夠。為每位員工提供經過驗證的工具來提醒他們注意危險消息并防止他們在意外點擊時與危險域進行交互是非常重要的。小小的投資，就可以避免大災難。"

　　打擊網絡釣魚攻擊的另一種主要方法是簡單地培訓員工如何發(fā)現(xiàn)攻擊，以及在出現(xiàn)違規(guī)情況時該怎么做。網絡釣魚利用員工的不知情，每天每人發(fā)送和接收大約 121 封商業(yè)電子郵件，很容易錯過跡象并成為網絡釣魚的受害者。

　　"在您的工作場所定期舉辦網絡釣魚意識培訓課程很重要，"Erkan說，"但這可能會耗費時間并降低生產力，而且鑒于我們收到的電子郵件和短信數(shù)量龐大，這還不夠。這就是我們創(chuàng)建DefensX并不斷增強我們的平臺、解決方案和功能的原因。"

　　DefensX將傳統(tǒng)的網絡瀏覽器轉換為零信任的安全瀏覽器。零信任威脅防御技術通過隔離威脅到達端點設備（如臺式機、筆記本電腦、智能手機和平板電腦）來保護用戶免受高級網絡安全攻擊。

　　總體而言，隨著技術的進一步發(fā)展，網絡犯罪和黑客不會很快消失，網絡釣魚也不會。企業(yè)必須更加謹慎，因為黑客可能潛伏在每封電子郵件和 URL 后面。對于希望在數(shù)字時代繼續(xù)受到保護的公司來說，零信任解決方案可以幫助加強防御，而充分的員工培訓和基于云的軟件解決方案可以幫助填補空白。

　　聲明：版權所有 非合作媒體謝絕轉載

　　作者：Matthew Vulpis

　　原文網址：https://www.techzone360.com/topics/techzone/articles/2022/08/09/453163-twilio-cyber-attack-social-engineering-real-really-dangerous.htm