現代流行文化習慣于將網絡犯罪分子描述為擁有大量計算技能的天才策劃者。雖然這些人確實存在，但該圖像并不能真實地代表當今某些網絡攻擊背后的大多數人。

長期以來，網絡釣魚攻擊一直是最常見的威脅載體之一，從典型的一攬子電子郵件活動到更具針對性和更復雜的方法，如 BEC 攻擊。作為更直接的網絡威脅之一，我們看到更多網絡釣魚的例子被用于當今一些最大的攻擊中。現在，由于網絡釣魚工具包和易于使用的網站托管平臺的可用性，如果找到合適的視頻教程，幾乎任何人都可以作為網絡釣魚者開展網絡犯罪事業。

網絡釣魚是如何演變的？

隨著技術習慣的進步，網絡釣魚策略也在進步。我們看到的最新趨勢是網絡釣魚工具包的增加，這些工具包允許網絡攻擊者專門關注移動設備。遠程和混合工作模式的延續使移動設備成為犯罪分子更有利可圖的目標，因為解散的勞動力不再直接受到 IT 團隊的關注。由于影子 IT 和有限的設備可見性，安全團隊很難監控和保護所有相關的移動設備。

此外，我們注意到網絡釣魚活動不太可能由盜竊隨機憑證驅動，而是針對更有價值的數據，包括銀行詳細信息和社會安全號碼。以前，獲取電子郵件地址和密碼等基本憑據將為犯罪分子提供資源，以進行進一步的網絡釣魚活動以獲得更大的獎品。然而，現在，我們看到更多的對手試圖切斷第一階段，而不是直奔金罐。例如，我們的最新研究表明，針對大通銀行賬戶持有人的網絡釣魚網站增加了 300%。網絡釣魚電子郵件中 ??URL 背后的每個欺詐網站都是使用網絡釣魚工具包創建的。

雖然銀行和金融數據一直是犯罪分子的主要目標，但最近出現了向加密貨幣和加密錢包的重大轉變。一旦威脅參與者破壞了加密帳戶，他們就可以自由轉移內容，而不會受到太多干擾或被抓住的風險。多因素身份驗證 (MFA) 和其他防御層使攻擊者更難竊取公司資產，但犯罪分子不斷尋找繞過安全的新方法。

為攻擊者提供助力

除了作為獨立攻擊部署外，網絡釣魚還被用于更大規模、更復雜的活動的開始。通過針對被認為是任何網絡安全計劃中最薄弱環節的員工，網絡釣魚者可以獲得對公司網絡的入門級訪問權限并描繪整個基礎設施的圖景。對于希望將侵入性勒索軟件攻擊作為輔助活動的組織來說，該情報非常有價值。

近幾個月來一些最具破壞性的攻擊，包括 SolarWinds 入侵，都是從簡單的網絡釣魚攻擊開始的。有了必要的資源和有關如何通過網絡釣魚工具在互聯網上輕松發起網絡釣魚攻擊的分步說明，我們可以期待看到數字繼續上升。

那么，什么是網絡釣魚工具包？

網絡釣魚工具包的基本形式是一個包羅萬象的包，用于設置和部署網絡釣魚攻擊。很少有人意識到這些“入門包”是多么容易獲得——在你偶然發現一個之前，你絕對不需要冒險到暗網。根據我們的研究，最常用的工具包之一是 Chase XBALTI，主要目標是 Chase 和亞馬遜賬戶持有人。

該工具包包括用于設置網絡釣魚站點的代碼，一旦獲得域，就可以輕松上傳該站點。然后，個人只需將網絡釣魚站點配置為將被盜憑據引導到單獨的位置并進行發送。網上通常有大量電子郵件可用，或者有時網絡釣魚者希望網絡釣魚活動更有針對性，他們會從暗網購買特定數據集。甚至還有服務會為您發送，因此一旦部署，它就可以繼續運行。即使發現其中一個網絡釣魚站點，將其關閉也并非總是一項簡單的任務。

為了與網絡釣魚的最新趨勢保持一致，在線工具包現在更加復雜——但仍然同樣易于使用——這意味著它們現在可以用于收集財務詳細信息、社會安全號碼、家庭住址和其他個人信息。他們甚至可以繞過常見的安全措施，以便他們現在可以捕獲 MFA 的一次性使用代碼。作為其吸引力的一部分，我們的研究還展示了這些網絡釣魚工具包的規避能力。

在某些情況下，攻擊者使用免費的動態域名服務將 URL 指向他們選擇的服務器。如果發現并關閉網絡釣魚工具包，此功能允許用戶更改 URL 的目標。一些在線商店以幾百美元的價格出售這些工具包，并且可以在一個小時左右的時間內建立網絡釣魚站點。犯罪從未如此便宜和容易獲得。

打擊網絡釣魚時的生活規則

網絡釣魚簡單且易于訪問的性質意味著它在未來幾年仍將是攻擊者的流行威脅媒介。有了使任何人都成為網絡釣魚者的工具，企業現在需要做好基礎工作，并在他們不堪重負之前收緊所有的艙口蓋。作為標準做法，企業應遵守三項安全策略：永遠不要重復使用密碼，始終盡可能使用 MFA，永遠不要低估常識的力量。

引入能夠分析電子郵件以確定它們是否是惡意的解決方案也很重要。組織應尋求整合和融合最新的最佳實踐，以防止網絡釣魚攻擊與傳統的電子郵件過濾器、專門的檢測框架和用戶培訓。電子郵件過濾器的使用將為組織提供對垃圾郵件、惡意軟件和知名網絡釣魚 URL 的高速檢測，而專門的檢測在應用層工作，使用機器學習和自然語言處理和行為分析。用戶培訓通過幫助處理既不是絕對干凈也不是惡意的可疑消息增加了另一層防御。通過結合這三個最佳實踐，

人類直覺是我們對抗網絡威脅的最強大工具之一。如果某事看起來可疑，那么它可能是。犯罪分子是社會工程和欺騙技術方面的專家，因此即使我們有絲毫懷疑，我們也不要認為某事是合法的，這一點至關重要。例如，我們知道銀行不會發送 SMS 短信要求提供更多個人信息，因此應立即將這些信息視為可疑信息。如果有疑問，在根據任何請求采取行動之前，始終值得聯系指定的公司進行確認。

網絡釣魚工具包的可訪問性將使企業保持警惕。知道任何人都可能成為業余網絡釣魚者是一個令人生畏的想法。雖然他們可能不具備突破復雜防御的高級技能，但如果他們中有足夠多的人將您作為他們的目標，您可以確定他們會發現一個被忽視的弱點。